Java: scovata una grave vulnerabilità, Oracle rilascia subito una patch
Con l’arrivo del nuovo anno, oramai in corso già da diversi giorni a questa parte, si torna a parlare delle vulnerabilità di Java che durante il 2012 hanno fatto discutere così come non mai.
Il problema, questa volta, è davvero molto grave tanto da portare la stessa Oracle a rendere immediatamente disponibile una patch, contente diverse correzioni relative, appunto, alla sicurezza inclusa una modifica che impedisce l’esecuzione automatica delle applet e delle applicazioni non firmate senza l’autorizzazione dell’utente.
Con questa nuova versione Oracle ha infatti cambiato il Java Security Level predefinito da Medium a High.
Il livello di sicurezza può comunque essere verificato o modificato attraverso uno slider presente nella scheda Sicurezza del Java Control Panel.
La versione 10 e precedenti di Java 7 conteneva una vulnerabilità che qualora sfruttata permetteva ad un eventuale malintenzionato di penetrare nel sistema della vittima e di indirizzarne poi la navigazione verso siti web contenti codice maligno o, ancora, di bloccare il computer, sfruttando i kit ad hoc già diffusi online, chiedendo alla vittima un riscatto mediante la tecnica definita ransomeware.
A portare alla luce la questione è stato per primo il Department of Homeland Security fornendo alcuni dettagli sui vari ed eventuali rischi relativi alla falla che stando a quanto reso noto è stata già sfruttata da alcuni malintenzionati.
Al fine di garantire la sicurezza degli utenti Mozilla ha immediatamente inserito Java 7 Update 10 nella blocklist di Firefox così come fatto anche da Apple con il suo sistema di protezione antimalware.
L’update 11 di Java 7 dovrebbe tuttavia garantire un maggior grado di sicurezza anche se a scopo preventivo è comunque consigliabile utilizzare il plugin solo e soltanto qualora strettamente necessario.