Una lacuna presente in Java sfruttata per eseguire codice

Tavis Ormandy, recente scopritore di una falla nell’implementazione della “Virtual DOS Machine” (VDM) in Windows, successivamente risolta da Microsoft mediante il rilascio di un’apposita patch (ved. queste notizie), ha individuato una vulnerabilità nel componente Java Deployment Toolkit (JDT), incluso come parte del pacchetto Java a partire dalla versione 6.0 “update 10”.

Secondo Ormandy la lacuna di sicurezza potrebbe essere sfruttata da parte di malintenzionati per causare il download e l’esecuzione di malware facendo riferimento ad un server FTP. JDT è stato concepito per rendere più semplice, per gli sviluppatori, la distribuzione delle loro applicazioni. Nel corso della sua indagine, Ormandy ha tuttavia stabilito come, al momento, un inadeguato “filtraggio” degli URL da parte di JDT porti all’invio di parametri arbitrari, e quindi pericolosi, a “Java Web Start” (JWS). Tale componente è in grado di scaricare applicazioni Java utilizzando il protocollo JNLP (“Java Network Launching Protocol“) ed eseguirle nell’ambito della virtual machine.

Ormandy ha mostrato come, attraverso l’utilizzo di URL “modificati ad arte”, sia riuscito a provare il download id un file jar che, a sua volta, è stato usato per eseguire automaticamente la calcolatrice di Windows.

Il ricercatore, che ha “militato” per anni nelle fila di Google, ha dichiarato di aver informato Sun-Oracle circa l’esistenza della problematica. I tecnici di Sun non avrebbero tuttavia considerato la vulnerabilità così critica da necessitare la pubblicazione di una patch di emergenza all’infuori del ciclo di rilascio trimestrale.

Sintanto che Sun non avrà messo a disposizione un aggiornamento risolutivo, Ormandy consiglia agli utenti del browser Internet Explorer di impostare, nel registro di Windows, il “kill bit” per il controllo ActiveX JDT.
Si chiama “kill bit” una speciale funzionalità di protezione che consente di impedire il caricamento di un controllo ActiveX da parte del motore di rendering HTML di Internet Explorer. Per questo scopo, viene introdotto, nel registro di Windows, un apposito valore. Se il “kill bit” è attivo, il controllo non può essere caricato, anche se è installato sul sistema in uso. L’impostazione del kill bit garantisce che, anche se nel sistema viene installato o reinstallato un componente affetto dalla vulnerabilità, quest’ultimo rimane inattivo e, pertanto, del tutto innocuo. Gli aggiornamenti di Microsoft che aggiungono “kill bit” al registro di Windows fanno sì che il caricamento di un ActiveX vulnerabile di terze parti venga impedito.
La procedura consiste nell’aprire l’Editor del registro di sistema, portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINESOFTWAREMicrosoft Internet ExplorerActiveX Compatibility ed individuare il CLSID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Nel pannello di destra si dovrà impostare un nuovo valore DWORD Compatibility Flags (nel caso in cui non esista già) ed impostarlo a 400 (Dati valore) in esadecimale.

Agli utenti di Mozilla Firefox, Ormandy suggerisce di bloccare l’accesso alla libreria npdeploytk.dll.