Continuano i problemi di sicurezza per Java, il software che Oracle ha acquisito da Sun e che è installato su oltre un miliardo di computer. Dopo la patch 10 pubblicata il 14 gennaio i ricercatori della società di sicurezza polacca Security Explorations avevano comunicato di avere individuato altre due vulnerabilità in Java 7.
Adam Gowdiak, fondatore dell'azienda, aveva sottolineato la pericolosità delle nuove falle, ma aveva anche aggiunto che l'introduzione della richiesta di conferma agli utenti per l'apertura di qualsiasi contenuto poteva stroncare sul nascere molti tentativi di attacco.
Java resta vulnerabile dopo la patch
Oggi si scopre che non è così. Lo stesso Gowdiak si è corretto e ha pubblicato una nota in cui precisa che "purtroppo, quanto sopra è solo una teoria". "In pratica, è possibile eseguire un codice non autorizzato (e dannoso) sfruttando le vulnerabilità tuttora presenti in Java senza che l'utente riceva alcuna richiesta di autorizzazione."
In particolare Gowdiak spiega che "una nuova vulnerabilità di sicurezza (numero 53) consente a un codice non firmato di essere eseguito con successo su un sistema Windows, indipendentemente dalle impostazioni del pannello di controllo di Java. Il codice di prova che abbiamo sviluppato e inviato a Oracle è stato eseguito con successo in un ambiente Java SE 7 Update 11 con sistema operativo Windows 7, con le impostazioni di protezione del pannello al massimo livello".
Oracle non ha ancora dato una risposta ufficiale, nonostante i professionisti della sicurezza e le aziende abbiano chiesto all'azienda di Larry Ellison di fare comunicazioni il più tempestive ed efficaci possibili quando viene rilevata una nuova vulnerabilità.
I criminali informatici dal canto loro sono decisamente reattivi: a meno di 24 ore dalla pubblicazione dell'ultima patch hanno messo in vendita un nuovo exploit per Java al prezzo di 5mila dollari. La minaccia, in sostanza, è reale.