La nuova vulnerabilità è particolarmente grave perché può essere sfruttata indipendentemente dalla versione di Java installata sul sistema. Visitando una pagina web contenente una applet malevola rischiano un’aggressione gli utenti di Java 5, Java 6 e Java 7, sia Mac sia Windows.
Gli utenti che hanno installato il pacchetto Java sono
nuovamente a rischio. Lo stesso esperto che in passato aveva indivuato
vulnerabilità di sicurezza, ha scoperta una grave falla che
permetterebbe ad un aggressore remoto di sottrarre dati memorizzati sul sistema dell’utente-vittima e di installare applicazioni nocive. La lacuna di sicurezza messa in evidenza da Adam Gowdiak, CEO della società polacca Security Explorations,
è particolarmente grave perché può essere sfruttata indipendentemente
dalla versione di Java installata sul sistema. Visitando una pagina web
contenente una applet malevola, a rischiare un’aggressione sono gli utenti di Java 5, Java 6 e Java 7, indipendentemente dal fatto che essi utilizzino un sistema Windows oppure Mac OS X.
Rispetto alla falla tappata da Oracle a fine agosto scorso (vedere l’articolo Oracle rilascia una patch per Java ad elevata criticità),
quella evidenziata da Gowdiak è ancor più critica perché nettamente più
ampio è il numero degli utenti potenzialmente bersagliabili.
L’unica
buona notizia è che per il momento in Rete non si è ancora diffuso il
codice exploit utilizzabile per sferrare gli attacchi nonostante Oracle
non abbia ancora rilasciato alcun aggiornamento correttivo. Oracle
avrebbe confermato a Gowdiak l’esistenza del problema non pronunciandosi
però sulla data di rilascio dell’aggiornamento risoltivo.
Il ricercatore ha poi confermato che il suo exploit “proof-of-concept”
funziona con qualunque versione del plugin Java installato nei browser
Internet Explorer, Chrome, Firefox, Opera e Safari: Gowdiak ha fatto
esplicito riferimento ai sistemi Windows 7 ma è ovvio che lo stesso
comportamento è riscontrabile sulle altre versioni di Windows e sui
sistemi Mac OS X ove sia stato installato Java.
I consigli da seguire sono sempre gli stessi:
è bene disinstallare Java se non lo si utilizza; è caldamente
consigliato disabilitare o disinstallare il suo plugin dai browser in
uso se il pacchetto Java è impiegato unicamente per eseguire
applicazioni in ambito locale; ridurre al minimo il numero di versioni
di Java installate sul personal computer mantenendo in uso solo quelle
strettamente necessarie ed avendo cura di aggiornarle con tempestività.
