Sun corregge sette vulnerabilità di Java

Sun ha corretto sette vulnerabilità di sicurezza nelle versioni 1.5.x e 1.4.x e 1.3.x del Java Runtime Environment, il software che include la macchina virtuale necessaria per far girare le applet e le applicazioni Java.

Cinque delle sette falle sono state classificate da FrSIRT della massima gravità, e questo perché potrebbero essere sfruttate da remoto per bypassare le restrizioni di sicurezza e, in certi casi, prendere il pieno controllo del sistema vulnerabile. Due debolezze, descritte in questo advisory ufficiale, sono relative alla cosiddetta serialization, e potrebbero consentire ad un aggressore di leggere, scrivere o eseguire dei file a propria scelta inducendo l'utente a visitare una pagina web contenente una applet maligna. Le altre falle "critiche", descritte qui, sono causate dalla non corretta gestione di immagini di grandi dimensioni, di array malformati e di valori negativi: in tutti e tre i casi un cracker potrebbe essere in grado di eseguire del codice a sua scelta inducendo l'utente a visitare una certa pagina web. Infine, le due vulnerabilità meno gravi, giudicate di rischio moderato, potrebbero rivelare a terzi informazioni personali. I problemi sono stati corretti da Sun con il rilascio di JDK/JRE 5.0 Upgrade 8, SDK/JRE 1.4.2_13 e SDK/JRE 1.3.1_19. In alternativa, gli utenti possono aggiornare JDK e JRE alla nuova versione 6, scaricabile da questa pagina.
La fonte dell'articolo