.:: Securnetwork.net Blog – Massimo Rabbi ::.

Apple ha rilasciato Java for Mac OS X 10.4 Release 9 e Java for Mac OS X 10.5 Update 4 per fixare alcune note vulnerabilità di sicurezza riguardanti la piattaforma Java.
A metà maggio, l’esperto di sicurezza Landon Fuller aveva pubblicato un exploit per Mac OS X, dimostrando quanto fosse semplice sfruttare la vulnerabilità Java.
Fin da allora Apple è stata ampiamente criticata per lasciare i propri utenti “non protetti” cosi’ a lungo.
Un’altro esperto di sicurezza, Rich Mogull, ha proposto l’introduzione di un programma “Secure Software Development” per prodotti Apple più importanti e la nomina di un Chief Security Officer (CSO) che faccia da coordinatore e da elemento trainante affinchè Apple possa rispondere in modo più veloce ed efficiente alle problematiche di sicurezza.

L’aggiornamento della “Mela” include i fix per alcune vulnerabilità critiche in Java 1.6, 1.5 e 1.4.
Una falla “extra” non riportata da Fuller è stata patchata in Mac OS X 10.5: era possibile per applet Java non firmate ottenere i privilegi per eseguire codice malevole.
L’aggiornamento rilasciato da Apple tuttavia incorpora la versione Java 6 Update 13, nonostante alla fine di maggio sia stato rilasciato l’update 14.
Stando a Sun tuttavia l’aggiornamento Java 6 Update 14 non chiude alcuna vulnerabilità, ma aggiunge una nuova funzionalità “blacklist”.
Grazie a questa, il Java Plug-in e Web Start controllano una blacklist per verificare se caricare o meno eventuali jar “malevoli” o non sicuri.

FONTE: Apple closes vulnerabilities in Java by Heise Security