Doppia falla per il Java Development Kit

Il linguaggio di programmazione universale Java recentemente apertosi alla filosofia open source, da oggi conta due nuove vulnerabilità nel suo Development Kit, cioè nel set di strumenti liberamente scaricabili in rete ed utili allo sviluppo di applicazioni nel linguaggio in questione. La versione 1.5 del JDK porta infatti con sè due falle che gli esperti di sicurezza di Secunia non hanno esitato a definire altamente critiche.

Si tratta di un problema nella gestione delle immagini, in particolar modo nel parsing dei profili ICC contenuti nelle immagini JPEG, che può essere sfruttato per eseguire linee di codice arbitrario (e quindi prendere il controllo del sistema) e di un errore nella gestione delle immagini BMP al momento di processare file malformati su sistemi Unix/Linux che può essere sfruttato per causare un Denial Of Service.

A segnalare per prima le due falle nel JDK è stata FrSIRT (French Security Incident Response Team), che dal suo sito indica che a scoprire le vulnerabilità sarebbe però stato Chris Evans del team di sicurezza di Google.

La soluzione consigliata è semplicemente l’aggiornamento del JDK alla versione 1.5.0_11-b03 o alla 1.6.0_01-b06 direttamente dal sito Sun Microsystems.