I ricercatori della società di sicurezza polacca Security Explorations hanno comunicato di avere individuato altre due vulnerabilità in Java 7, dopo la patch diffusa la settimana scorsa. Secondo gli esperti i cyber criminali potrebbero sfruttarle per eseguire codice arbitrario sul computer.
La scoperta è stata pubblicata da Adam Gowdiak, fondatore dell'azienda, che ha inviato tutti i dettagli a Oracle affinché si metta all'opera per rimediare il prima possibile al problema. I dati tecnici relativi agli exploit non saranno resi pubblici fino a quando non sarà distribuita la patch risolutiva.
Java di nuovo a rischio, altre due falle scoperte
Quello che è certo è che delle due vulnerabilità zero-day che erano state scoperte Oracle ne ha risolta una sola con l'aggiornamento JRE versione 1.7.0_11-b21 pubblicato lo scorso lunedì. Le altre due falle scoperte tuttavia non includono quella rimasta silente, vi si sommano.
L'azienda di Larry Ellison continua ad essere sommersa dai grattacapi a causa di Java, il software acquisito da Sun e installato su oltre un miliardo di computer. Prima della patch 11 il Dipartimento della sicurezza interna degli Stati Uniti aveva consigliato agli utenti di disattivare Java su tutti i computer fino a quando non sarebbe stata trovata una soluzione.
Le ultime falle scoperte consentono ai cyber criminali di eseguire codice arbitrario sul Pc
Dopo la distribuzione della patch un nuovo comunicato ha esortato a non riattivare Java, ritenendola ancora a rischio. Ora che gli esperti hanno trovato altre vulnerabilità è fugato ogni dubbio sul tipo di provvedimento da adottare per evitare possibili problemi.
Secondo Gowdiak l'ennesima vulnerabilità lascia intendere che "c'è sicuramente qualcosa di preoccupante nella qualità del codice Java SE 7". Il ricercatore pensa addirittura alla mancanza di un adeguato programma di sviluppo della sicurezza di Java o ad altri problemi interni a Oracle.
In ogni caso, il solo fatto che dopo l'ultimo aggiornamento Java chieda conferma agli utenti prima di aprire qualsiasi contenuto è un passo nella giusta direzione, perché potrebbe stroncare sul nascere molti tentativi di attacco.