Grosso spiffero in Java 5 e 1.4

Roma - Nelle versioni 5 e 1.4.x di Java si cela una pericolosa vulnerabilitą di sicurezza che potrebbe essere sfruttata da un aggressore per compromettere un PC remoto e prenderne il controllo.

In questo advisory FrSIRT spiega che la falla č causata da un errore non specificato nel componente Java Web Start sfruttabile da un programma maligno per sovrascrivere qualsiasi file (incluso ".java.policy") di cui l'utente abbia i diritti in scrittura: questo consente al programma di attivare applet o applicazioni Java Web Start a loro volta in grado di eseguire del codice con gli stessi permessi dell'utente locale.

Scoperta dall'esperto di sicurezza John Heasman di NGSSoftware, la debolezza si annida nelle versioni 5.0 Update 11 e precedenti di JDK e JRE e nelle versioni 1.4.2_13 e precedenti di JRE e SDK. Il problema č stato corretto nelle ultime release di Java 5 e 1.4.x disponibili rispettivamente qui e qui. Apparentemente immune al problema Java 6.

Fonte: Punto-Informatico.it