Apple tappa una falla critica nel Java di OS X

Apple ripara una nota falla di sicurezza insita nel pacchetto Java fornito con OS X 10.4 e 10.5 attraverso il rilascio di due singoli aggiornamenti. La vulnerabilità, riportata da Sun nell’agosto del 2008, permetterebbe l’esecuzione di codice arbitrario da remoto, oltre ad offrire ad eventuali malintenzionati l’opportunità di eliminare file ed eseguire applicativi all’interno dell’ambiente Mac, il tutto tramite l’installazione nel sistema di una applet Java opportunamente programmata.

Nello specifico, l’update indirizzato ad

aggiorna J2SE 5.0 alla versione 1.5.0_19 e J2SE 1.4.2 alla 1.4.2_21, mentre l’aggiornamento per

porta Java SE 6 alla versione 1.6.0_13, J2SE 5.0 alla 1.5.0_19 e J2SE 1.4.2 alla versione 1.4.2_21. Secondo quanto dichiarato da Apple, l’upgrade garantirebbe semplicemente una migliore funzionalità e compatibilità dell’ambiente Java, aumentando al contempo il livello di sicurezza generale delle macchine su cui è installato il sistema operativo Apple.

In realtà, il correttivo rappresenta un atto dovuto da parte di Apple, piuttosto che un semplice aggiornamento: la vulnerabilità in questione era stata divulgata da Sun già nell’agosto del 2008 e la patch correttiva risultava già disponibile da dicembre; il fatto di poter condurre le macchine all’exploit semplicemente attraverso una routine in puro linguaggio Java, in grado di agire quindi attraverso qualsiasi browser entrato in contatto con un sito malevolo, avrebbe dovuto spingere i vertici di Cupertino a rilasciare una patch correttiva nel minor tempo possibile.

Così non è stato, fino ad oggi, motivo per cui alcune società dedite alla sicurezza, quali Intego, hanno in passato esortato gli utenti Mac ad adottare contromisure provvisorie, quali il

il supporto Java all’interno del proprio browser. Le parole di Intego seguivano l’eco delle

compiute dal ricercatore Landon Fuller, il quale aveva pubblicato un proof-of-concept in grado di mostrare la vulnerabilità all’interno del motore Java.