Ricerca

sabato 1 novembre


Una lacuna presente in Java sfruttata per eseguire codice

di Michele Nasi (12/04/2010)


Tavis Ormandy, recente scopritore di una falla nell'implementazione della "Virtual DOS Machine" (VDM) in Windows, successivamente risolta da Microsoft mediante il rilascio di un'apposita patch (ved. queste notizie), ha individuato una vulnerabilità nel componente Java Deployment Toolkit (JDT), incluso come parte del pacchetto Java a partire dalla versione 6.0 "update 10".

Secondo Ormandy la lacuna di sicurezza potrebbe essere sfruttata da parte di malintenzionati per causare il download e l'esecuzione di malware facendo riferimento ad un server FTP. JDT è stato concepito per rendere più semplice, per gli sviluppatori, la distribuzione delle loro applicazioni. Nel corso della sua indagine, Ormandy ha tuttavia stabilito come, al momento, un inadeguato "filtraggio" degli URL da parte di JDT porti all'invio di parametri arbitrari, e quindi pericolosi, a "Java Web Start" (JWS). Tale componente è in grado di scaricare applicazioni Java utilizzando il protocollo JNLP ("Java Network Launching Protocol") ed eseguirle nell'ambito della virtual machine.

Ormandy ha mostrato come, attraverso l'utilizzo di URL "modificati ad arte", sia riuscito a provare il download id un file jar che, a sua volta, è stato usato per eseguire automaticamente la calcolatrice di Windows.

Il ricercatore, che ha "militato" per anni nelle fila di Google, ha dichiarato di aver informato Sun-Oracle circa l'esistenza della problematica. I tecnici di Sun non avrebbero tuttavia considerato la vulnerabilità così critica da necessitare la pubblicazione di una patch di emergenza all'infuori del ciclo di rilascio trimestrale.

Sintanto che Sun non avrà messo a disposizione un aggiornamento risolutivo, Ormandy consiglia agli utenti del browser Internet Explorer di impostare, nel registro di Windows, il "kill bit" per il controllo ActiveX JDT.
Si chiama "kill bit" una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il "kill bit" è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L'impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest'ultimo rimane inattivo e, pertanto, del tutto innocuo. Gli aggiornamenti di Microsoft che aggiungono "kill bit" al registro di Windows fanno sì che il caricamento di un ActiveX vulnerabile di terze parti venga impedito.
La procedura consiste nell'aprire l'Editor del registro di sistema, portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Internet Explorer\ActiveX Compatibility ed individuare il CLSID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Nel pannello di destra si dovrà impostare un nuovo valore DWORD Compatibility Flags (nel caso in cui non esista già) ed impostarlo a 400 (Dati valore) in esadecimale.

Agli utenti di Mozilla Firefox, Ormandy suggerisce di bloccare l'accesso alla libreria npdeploytk.dll.
Articolo seguente: P2P selvaggio: stop nel Regno Unito. Le parole di Maroni.
Articolo precedente: Adobe rinnova il meccanismo di aggiornamento di Reader
4028 letture
Ultimi commenti
inviato da Jake > pubblicato il 12/04/2010 14:53:23
@Ello Chiudi Firefox, vai nella cartella dei plugin (ad esempio C:\Programmi\Mozilla Firefox\plugins) e ridenomina il file in questione.
inviato da Ello > pubblicato il 12/04/2010 14:07:35
Citazione: Agli utenti di Mozilla Firefox, Ormandy suggerisce di bloccare l'accesso alla libreria npdeploytk.dll.
In che modo? Grazie in anticipo.
inviato da Michele Nasi > pubblicato il 12/04/2010 10:45:35
Quale versione di JRE hai installato? Comunque l'aggiunta del CLSID e la configurazione del Compatibility Flags ti proteggerà dal problema se usi Internet Explorer.
inviato da mirk89 > pubblicato il 12/04/2010 10:09:15
ragazzi a me nn è presente la CLSID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA .... la creo manualmente o non avendola non ho il rischio di cadere nella falla??? grazie a tutti


Leggi tutti i commenti

Commenta anche su Facebook

Download correlati :

Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2014

Pubblicità | Contatti | Informazioni legali | Cookies | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS