Java, una falla per tutti

Scovati una vulnerabilità del runtime Java e il relativo codice di exploit. Il livello di pericolo è alto, la falla è già sfruttata dai malware writer. La community si adopera
Scovati una vulnerabilità del runtime Java e il relativo codice di exploit. Il livello di pericolo è alto, la falla è già sfruttata dai malware writer. La community si adopera

Java ha un nuovo problema di sicurezza, una vulnerabilità che è già attivamente sfruttata da ignoti cyber-criminali e che potrebbe restare ancora “aperta” per un periodo di tempo inopportunamente lungo. A rischio tutte le piattaforme su cui è presente la VM di Oracle, anche se il sistema preso di mira è Microsoft Windows.

Il problema risiede nelle versioni più recenti del Java Runtime Environment (dalla 1.7 in poi), mentre le versioni precedenti (1.6) non sono affette: la vulnerabilità permette il download e l’esecuzione di codice da remoto, un problema comune a tutti i browser per cui è disponibile il relativo plug-in JRE per l’esecuzione di applet Java.

I sistemi operativi potenzialmente a rischio sono tanti, ma al momento l’unico exploit individuato scarica un payload progettato per OS Windows: le tracce dell’operazione portano in Cina, mentre il malware si attiva alla ricerca di un centro di comando&controllo per ricevere istruzioni sulle operazioni malevole da mettere in atto.

Le politiche di update attualmente in voga presso Oracle non contribuiscono a migliorare la situazione: il prossimo aggiornamento per JRE non è previsto prima di ottobre, ragion per cui utenti e amministratori si stanno arrangiando con pezze artigianali o con la disattivazione di Java per non incappare in spiacevoli sorprese durante la navigazione online.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

28 08 2012
Link copiato negli appunti