Doppia falla per il Java Development Kit

Due problemi nel modo in cui il set di strumenti per lo sviluppo di applicazioni in Java gestisce le immagini (JPEG e BMP) sono state segnalate. Il rischio è l’esecuzione di codice arbitrario e il Denial Of Service. Già pronta la patch

Il linguaggio di programmazione universale Java recentemente apertosi alla filosofia open source, da oggi conta due nuove vulnerabilità nel suo Development Kit, cioè nel set di strumenti liberamente scaricabili in rete ed utili allo sviluppo di applicazioni nel linguaggio in questione. La versione 1.5 del JDK porta infatti con sè due falle che gli esperti di sicurezza di Secunia non hanno esitato a definire altamente critiche.

Si tratta di un problema nella gestione delle immagini, in particolar modo nel parsing dei profili ICC contenuti nelle immagini JPEG, che può essere sfruttato per eseguire linee di codice arbitrario (e quindi prendere il controllo del sistema) e di un errore nella gestione delle immagini BMP al momento di processare file malformati su sistemi Unix/Linux che può essere sfruttato per causare un Denial Of Service.

A segnalare per prima le due falle nel JDK è stata FrSIRT (French Security Incident Response Team), che dal suo sito indica che a scoprire le vulnerabilità sarebbe però stato Chris Evans del team di sicurezza di Google.

La soluzione consigliata è semplicemente l’aggiornamento del JDK alla versione 1.5.0_11-b03 o alla 1.6.0_01-b06 direttamente dal sito Sun Microsystems.

Ti potrebbe interessare