La Sun non coordina gli aggiornamenti di sicurezza

di Alessandro Vinciarelli

scritto il

Anche le grandi realtà informatiche del pianeta hanno problemi di sicurezza informatica nei loro prodotti. Anzi sono quelle che di più vengono minacciate da attacchi esterne e che più dovrebbero essere sicuri dell’impenetrabilità delle proprie soluzioni.

Purtroppo non è sempre così e nel recente caso della Sun abbiamo avuto la percezione che ci fosse qualche problema in più.

Per andare in ordine diciamo che la Sun Microsystem rilascerà nei prossimi giorni un aggiornamento sulla sicurezza che andrà a coprire un bug molto grave della versione più recente della Java Runtime Environment.

Quello che stupisce non è la patch in se, ma il fatto che una patch analoga era stata rilasciata non molto tempo fa per lo stesso tipo di problema in una versione meno recente della JRE.

Più esattamente la patch per la versione 5 della JRE era stata rilasciata negli ultimi giorni di Giugno mentre quella per la 6 sarà appunto distribuita a breve.

Alcuni esperti di sicurezza sottolineano questa lacuna e c’è chi rimprovera SUN di essere una delle poche aziende al mondo che ancora non è in grado di svolgere un azione coordinata in ambito di risoluzione dei bug e rilascio degli aggiornamenti.

L’accusa scaturisce dalla considerazione che una tra le tecniche base degli hacker è partire dalla patch su una versione per poi, utilizzando opportune tecniche di riverse engineering, andare a capire dove provare a colpire altri sistemi.

In pratica gli hacker, forti della conoscenza acquisita con lo studio della patch su una versione, provano ad attaccare i punti deboli di tutte le altre versioni.

Per dovere di cronaca aggiungiamo in ultimo che il problema affligge i computer sui quali è installato il sistema operativo Windows. In particolare si tratta di un problema di stack buffer overflow nell’utility che gestisce le applicazioni Java scaricate. In questo modo del codice malizioso potrebbe intrufolarsi nella macchina dell’attaccato eseguendo operazioni a proprio arbitrio.

Su queste accuse la Sun non si è ancora espressa. Concludiamo dicendo che anche se gli update non sono ancora stati distribuiti in modo automatico i più prudenti possono scaricarli dal sito ufficiale.