Una falla di Java mette a rischio la sicurezza di Mac OS X. La mettiamo giù in maniera piuttosto semplice ma pare proprio che questa volta l’allarme sia potenzialmente serio. Ad avvertire del rischio concreto di una esecuzione di codice arbitrario sulla macchina dell’utente da parte di una Applet Java appositamente compilata ed eseguita nel browser, è Landon Fuller, programmatore ed ex ingegnere di Apple.
Per dimostrare che non si tratta di una minaccia remota e teorica Fuller ha rilasciato una vera e propria proof of concept che servirebbe, a suo dire, a convincere Apple della necessità di patchare al più presto la vulnerabilità. Cerchiamo di capire meglio in cosa consiste il problema e come sia possibile difendersi in attesa di un nuovo aggiornamento di sicurezza.
Il problema è semplice: una Applet appositamente creata per sfruttare la vulnerabilità CVE-2008-5353 e fatta girare dal client Java del sistema tramite il browser, è in grado di eseguire codice sul sistema con i privilegi dell’utente loggato al momento.
L’esempio fornito da Fuller spiega in maniera rapida ed efficacie il concetto. Collegatevi a questo link contenente l’Applet di Fuller. La voce che sentite non è riprodotta dal programma, è il vostro Mac che sta parlando attraverso il comando “say”. Provate ad aprire il Terminale e a digitare say Hello World e capirete immediatamente che cosa ha appena combinato l’exploit di Fuller.
Una buona notizia è che con i privilegi del vostro utente, anche se siete amministratori, non possono essere compiuti misfatti tremendamente atroci al vostro sistema. Per avviare l’equivalente informatico del lancio di testate nucleari nemiche sulle maggiori città della nazione è comunque necessario autenticarsi con pieni privilegi.
Un’altra buona notizia è che riuscire ad implementare la falla non è esattamente alla portata tecnica di chiunque. Senza scordarci che l’utente deve necessariamente essere indirizzato a priori verso il sito contenente l’applet malevola.
La cattiva notizia è che la vulnerabilità è nota da un bel po’ e nonostante il recente aggiornamento di sicurezza incluso in Mac OS X 10.5.7, se ne sta ancora al suo posto. Per la precisione questo bug è noto agli addetti ai lavori già dallo scorso mese di agosto mentre Sun, l’azienda che ha creato il linguaggio Java, ha risolto il problema a dicembre scorso.
Come fare dunque a difendersi da questo bug in attesa che da Cupertino si decidano a consegnarci una patch ufficiale? Semplice, basta disabilitare Java sui browser. Qualche sito non funzionerà al massimo, anche se è vero che le Applet Java non sono fra gli elementi più comuni in cui ci si imbatte durante la navigazione, ma al momento questa è l’unica soluzione. In Firefox basta togliere la spunta nel pannello Contenuti delle Preferenze. In Safari l’opzione si trova nel pannello Preferenze – Security (o Sicurezza). Se avete necessita di attivare una Applet da un sito sicuro potete utilizzare un Site Specific Browser come Fluid oppure attivare Java sul browser per il tempo necessario all’utilizzo dell’Applet specifica.
Poiché prevedo già che qualcuno potrebbe farsi domande strane su JavaScript, anticipo la risposta: non vi preoccupate, JavaScript è tutt’altro rispetto a Java (Netscape avrà sempre sulla coscienza la generazione di questo eterno fraintendimento) e non è nemmeno lontanamente sfiorato dal problema.
Disattivato Java su Safari… certo però che potevano patcharlo da subito :S tanto odio java :D