Non molti giorni fa è stata annunciata la presenza di due vulnerabilità all’interno del Java Development Kit che potrebbero portare un attacker ad utilizzare exploit remoti. Il problema è che uno di questi exploit potrebbe permettere a quest’ultimo di impadronirsi completamente del sistema compromesso. Correre ai ripari è dunque d’obbligo.

JDK è uno strumento che permette lo sviluppo di applicazioni in Java fornito dalla Sun Microsystems. Le vulnerabilità sono state definite critiche dalla FrSIRT (French Security Incident Response Team), una società di sicurezza francese.

Una delle falle è causata da un owerflow degli interi nel parser delle immagini quando vengono processati profili ICC embedded inclusi all’interno di immagini JPEG. Questo problema può essere sfruttato per mandare in crash la JVM e permettere l’esecuzione di codice arbitrario da parte dell’attacker.

La seconda vulnerabilità è invece causata da un errore nel parser delle immagini BMP nel momento dell’esecuzione di file malformati all’interno di sistemi Unix/Linux. Questa vulnerabilità può essere sfruttata per lanciare attacchi di tipi Denial Of Service.

Entrambe le vulnerabilità affliggono le versioni 1.x della JDK. Per risolvere il problema basta aggiornare le proprie versioni JDK alla 1.5.0_11-bo3 o 1.6.0_01-bo6.