Vecchio problema, nuovo rischio di exploit se non si aggiorna Java
Oracle ha rilasciato un aggiornamento che corregge una vulnerabilità critica di Java SE, già segnalata nel 2013. La prossima versione del software, la numero 9, rimuoverà il plugin per i browser, certificando una scelta già compiuta in autonomia da Google (per Chrome) e da Mozilla (per Firefox).
Pubblicato il 25 marzo 2016 da Redazione
Oracle corre ai ripari per risolvere una vulnerabilità critica di Java, o meglio della piattaforma in edizione SE (Standard Edition). Il rischio, per chi naviga in Rete e dovesse capitare su un sito contenente malware, è quello di aprire le porte del proprio Pc a un attacco exploit. L’azienda ha dunque sollecitato gli utenti ad aggiornare il software per risolvere il problema, identificato come CVE-2016-0636, e ha implicitamente risposto alla segnalazione pubblica fatta dalla società di sicurezza polacca Security Explorations.
A detta di quest’ultima, la scoperta del difetto risalirebbe al 2013: all’epoca Oracle aveva già rilasciato una patch per la vulnerabilità (precedentemente identificata come CVE-2013-5838), ma senza risolvere davvero il problema. Con una semplice e minima modifica del codice originale dell’exploit, infatti, il correttivo risultava inefficace. Security Explorations aveva dunque segnalato il fatto alla compagnia di Redwood Shores.
Ma la cortesia non si è ripetuta a distanza di più di due anni, dal momento che la società di sicurezza ha pubblicato la segnalazione della vulnerabilità senza prima consultarsi con Oracle. Questa ha reagito con il rilascio della nuova patch, facendo un generico riferimento alla “pubblicazione di dettagli tecnici” sulla vulnerabilità e usando per quest’ultima un nuovo codice identificativo, invece di riprendere quello usato nel 2013.
Schermaglie a parte, il suggerimento caldeggiato da Oracle è quello di aggiornare Java SE 8 attraverso l’update 77 (8u77), mentre per chi utilizzasse ancora Java SE 6 o 7 l’installazione è possibile solo in caso di contratti con supporto esteso. Vulnerabilità risolta? Secure Explorations, effettuando alcuni test, ha confermato che lo è. Ma resta il problema di fondo delle note debolezze di Java.
Per oltre un decennio i programmi di navigazione Web hanno supportato il plugin basato sull’architettura cross-platform Npapi, ma con l’avvento dell’Html5 si è resa disponibile un’alternativa meno problematica. Per prima era stata Google, qualche mese fa, ad annunciare il ritiro del supporto dalla sua successiva versione di Chrome (la 45, rilasciata a settembre dell’anno scorso), seguita poi da Mozilla con un’analoga decisione per Firefox. A gennaio, poi, la stessa Oracle aveva annunciato di aver pianificato l’abbandono del plugin per i vari browser a partire dalla versione 9 di Java.
SICUREZZA
- Il gateway Kaspersky protegge i dati dell’industria connessa
- Cloud, collaborazione e sicurezza: le tre sfide da vincere per l’IT
- L’essere umano “aumentato” suscita un misto di paura e fascino
- DotForce distribuisce le soluzioni per la sicurezza Corelight
- Cloud e reti di nuova generazione nella roadmap 2021 di Zyxel
