Java su Mac OS X: una grave vulnerabilità non ancora corretta

Forse ricorderete di quella gravissima falla che, al concorso Pwn2own di qualche mese fa, fece crollare Safari in meno di due minuti. A distanza di sei mesi, e con grande sconcerto, apprendiamo che tutti tranne Apple hanno provveduto a rilasciare una patch per correggere il problema.

Chi sperava che Mac OS X 10.5.7 avrebbe aggiornato Java e corretto il grave bug che affligge ormai solo i computer Apple dovrà ricredersi. Sul suo blog, Julien Tinnes ha descritto nel dettaglio la situazione e sottolinea che, a differenza delle altre falle tipiche di Java, questa è una “vulnerabilità pura” che non implica alcun codice nativo: è, cioè, un errore presente nell’originale e non è imputabile al porting di Apple. Ecco perché affliggeva tutte le altre implementazioni, comprese quelle su piattaforma Linux e Windows. Le implicazioni sono preoccupanti:

Ciò significa che si può scrivere un attacco affidabile al 100% in Java puro che funzionerebbe su qualunque combinazione di piattaforma, architettura e browser.

Tinnes afferma che aggiornare un componente come Java può compromettere molte applicazioni Web e software basati su tale linguaggio, e ciò spiegherebbe la storica refrattarietà di Apple al rilascio di update Java. Tuttavia, lasciare allo scoperto i propri utenti per tanto tempo potrebbe rivelarsi una scelta irresponsabile, soprattutto ora che le modalità di attacco sono note (al tempo del Pwn2own, invece, non erano state rivelate per motivi di sicurezza). La raccomandazione di Tinnes, dunque, è di disabilitare Java nei browser in attesa di qualche novità da Cupertino.