Forse ricorderete di quella gravissima falla che, al concorso Pwn2own di qualche mese fa, fece crollare Safari in meno di due minuti. A distanza di sei mesi, e con grande sconcerto, apprendiamo che tutti tranne Apple hanno provveduto a rilasciare una patch per correggere il problema.
Chi sperava che Mac OS X 10.5.7 avrebbe aggiornato Java e corretto il grave bug che affligge ormai solo i computer Apple dovrà ricredersi. Sul suo blog, Julien Tinnes ha descritto nel dettaglio la situazione e sottolinea che, a differenza delle altre falle tipiche di Java, questa è una “vulnerabilità pura” che non implica alcun codice nativo: è, cioè, un errore presente nell’originale e non è imputabile al porting di Apple. Ecco perché affliggeva tutte le altre implementazioni, comprese quelle su piattaforma Linux e Windows. Le implicazioni sono preoccupanti:
Ciò significa che si può scrivere un attacco affidabile al 100% in Java puro che funzionerebbe su qualunque combinazione di piattaforma, architettura e browser.
Tinnes afferma che aggiornare un componente come Java può compromettere molte applicazioni Web e software basati su tale linguaggio, e ciò spiegherebbe la storica refrattarietà di Apple al rilascio di update Java. Tuttavia, lasciare allo scoperto i propri utenti per tanto tempo potrebbe rivelarsi una scelta irresponsabile, soprattutto ora che le modalità di attacco sono note (al tempo del Pwn2own, invece, non erano state rivelate per motivi di sicurezza). La raccomandazione di Tinnes, dunque, è di disabilitare Java nei browser in attesa di qualche novità da Cupertino.
melablog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Melablog.it contattare la concessionaria esclusiva Populis Engage.
albertofr
20 mag 2009 - 13:38 - #1che drammi sto java ha sempre infiniti bug…. cmq apple potrebbe anche rilasciare 1 security update, per ora java disabled….
Melablogosemprepeggio
20 mag 2009 - 14:07 - #2Sì, certo… disabilitiamo Java, quando centinaia di applicazioni si basano su di esso, specie se si tratta di software multipiattaforma.
Quello proposto non dovrebbe essere altro che un “workaround” temporaneo: qui il fatto grave è che Apple non si muova a fornire un aggiornamento importante per la sicurezza degli utenti. È a dir poco ridicolo che dopo settimane ancora non sia stata rilasciata una patch!
Trollone
20 mag 2009 - 14:19 - #3“A noi Mac user non serve un antivirus e tanto meno un “centro sicurezza”. Il nostro centro sicurezza è Mac OS X e i Security Update che rilascia Apple.” [cit. Alessandra di Melablog]
karoo
20 mag 2009 - 14:23 - #4odio java :P
Ad ogni modo do ragione a Tinnes e credo che la Apple dovrebbe fare qualcosa.
mandrakosx
20 mag 2009 - 14:36 - #5Bisogna disabilitare solo java o anche javascript?
fanboy-apple
20 mag 2009 - 14:36 - #6Melablogosemprepeggio: si parla di disabilitare java nel browser, mica su tutto il sistema…….
dave_tracker
20 mag 2009 - 15:02 - #7scusate OT: da quando ho aggiornato il macbook pro a 10.5.7 mi da problemi quando lo metto in stop, spesso si impalla. succede solo a me??
!1!1!
20 mag 2009 - 15:31 - #8@7
anche il mio macbook
Mah
20 mag 2009 - 15:38 - #9Portabilità dei virus!! Wow! Grazie Java :D
Andreabont
20 mag 2009 - 16:20 - #10E meno male che la scusa che giustificava il prezzo così alto dei pc apple era “ma sono sicuri, affidabili e di qualità”
Adesso si scopre che è il sistema piì insicuro in circolazione?? XD
fate le patch, scansafatiche! XD
Melablogosemprepeggio
20 mag 2009 - 16:57 - #11fanboy-apple #6:
questo l’ho capito anche io, e allora?
fanboy-apple
20 mag 2009 - 17:01 - #12Allora hai detto: “Sì, certo… disabilitiamo Java, quando centinaia di applicazioni si basano su di esso, specie se si tratta di software multipiattaforma.”
mi spieghi il senso di questa affermazione ?
MetalSho
20 mag 2009 - 17:34 - #13@madrakosx
Solo Java. Javascript con Java non c’entra nulla. ;-)
barattol!
20 mag 2009 - 17:35 - #14@Roger
sbaglio o ti hanno cancellato il commento che avevi postato in questo articolo??
perchè mai poi?non mi sembrava fosse denigratorio o offensivo…
http://www.melablog.it/post/8721/le-specifiche-tecniche-ed-estetiche-del-nuovo-iphone#show_comments
muahahah
20 mag 2009 - 17:36 - #15che computer di m*** costano il centuplo e sono più colabrodo di uindous
-
fate schifo
mandrakosx
20 mag 2009 - 17:58 - #16Grazie MetalSho
elciopa
20 mag 2009 - 18:00 - #17Voi vorreste disabilitare java perchè c’è una falla nella sicurezza?
Ma per piacere dai.. Se tutte le organizzazioni si comportassero così non sarebbero mai operative. Non sapete manco quante ce ne sono e quante ancora ne scopriranno di queste falle..
Poi io ho gran rispetto per Java. E’ un linguaggio che per noi informatici è fondamentale..
sirus
20 mag 2009 - 19:19 - #18Se c’è una cosa che proprio non sopporto di Apple è il trattamento che riserva al povero Java che è una tecnologia che da informatico non posso fare altro che adorare.
Melablogosemprepeggio
20 mag 2009 - 21:43 - #19@ fanboy-apple #12:
be’, mi sembra chiaro…
È stato detto dall’autore del post:
“La raccomandazione di Tinnes, dunque, è di disabilitare Java nei browser in attesa di qualche novità da Cupertino.”
e io rispondo:
“Sì, certo… disabilitiamo Java, quando centinaia di applicazioni si basano su di esso, specie se si tratta di software multipiattaforma.”
… dove non mi sono spiegato?
Mah
20 mag 2009 - 22:04 - #20@Melablogosemprepeggio
dal tuo commento sembra che tu ti riferisca alla disabilitazione di java per tutto il sistema operativo e non solo per il browser! Se davvero ti riferisci a questo allora non ha alcun senso, o non hai capito bene in che cosa consiste la vulnerabilità, o entrambe le cose..
Melablogosemprepeggio
20 mag 2009 - 22:26 - #21@ Mah #20:
ho capito benissimo qual è il problema…
… ed è proprio per questo che, al contrario, non capisco cosa c’è di sbagliato in quello che ho detto.
A meno che voi abbiate interpretato “applicazioni” e “software” in riferimento non alle “applicazioni/software web” (applet java, …) ma ai software “java-based” installabili su Mac, le contestazioni che muovete contro la mia affermazione iniziale non hanno alcun senso. Ma sono sicuro che voi, da buoni esperti informatici che avete “capito bene in cosa consiste la vulnerabilità”, non avete pensato questo… o sbaglio? :-)
Melablogosemprepeggio
20 mag 2009 - 22:28 - #22Dimenticavo: in quale parte dei miei commenti precedenti ho scritto “disabilitiamo Java in TUTTO OSX”?
Io ho semplicemente ripreso l’affermazione contenuta nel post - affermazione ripresa dallo stesso autore in un altro blog.
Mah
20 mag 2009 - 23:20 - #23Non l’hai scritto esplicitamente ma era quello che si capiva dal tuo primo commento.
Il tuo commento diceva:
“Sì, certo… disabilitiamo Java, quando centinaia di applicazioni si basano su di esso, specie se si tratta di software multipiattaforma.”
A me (e non solo evidentemente) fa pensare che tu ti riferisca ad applicazioni desktop dato che non mi sembra che disabilitarlo nel browser porti a grossi problemi mentre disabilitarlo nel sistema operativo, quella si sarebbe una brutta amputazione.
Se non intendevi applicazioni desktop, no problem. Però il tuo commento portava a pensare quello, tutto qui
Cheers ;)
Ah, comunque.. SI. Io da buon esperto informatico l’ho capita la vulnerabilità
Melablogosemprepeggio
21 mag 2009 - 13:07 - #24Disabilitare Java nel browser non porta a grossi problemi? Mah, tutto dipende dai siti che frequenti, dalle funzionalità che gli stessi ti offrono… per me (e tanti altri) disabilitare Java nel browser sarebbe un grande fastidio - direi proprio un problema; senza contare che ho una tecnologia che mi si consiglia di non usare perchè c’è un problema di sicurezza.
… e i bug non si risolvono così, “disabilitando”…