Oracle ha rilasciato 26 aggiornamenti per la sua piattaforma Java SE 6, al fine di affrontare una serie di 17 vulnerabilità sfruttabile da remoto, molte delle quali potrebbero causare l'esecuzione di codice arbitrario. Delle patch incluse, undici si applicano solo per il client Java SE e uno solo per la versione server. Le nove vulnerabilità portano il punteggio massimo di 10 sulla scala CVSS. Questo significa che possono essere sfruttate da remoto con facilità e senza autenticazione con conseguente completa riservatezza, integrità e disponibilità alla compromissione.
CVSS è un sistema di valutazione della vulnerabilità progettato per fornire un metodo aperto e standardizzato per la valutazione delle vulnerabilità IT. I punteggi sono stati calcolati secondo la presunzione che gli utenti abbiano privilegi amministrativi, tipicamente su Windows, e sono in grado di eseguire applet Java o applicazioni Java Web Start. Tre delle restanti vulnerabilità portano un punteggio base di 7,6 CVSS, quattro di 5,0 e una di 2.6.
"A causa della minaccia rappresentata da un attacco riuscito, Oracle raccomanda vivamente ai clienti di applicare CPU (Critical Patch Update) che consente di risolvere il più presto possibile", scrive la società nella sua consulenza. Le seguenti persone o organizzazioni hanno segnalato le vulnerabilità affrontate da Oracle: Zero Day un giornalista anonimo di TippingPoint; binaryproof via iDefense; binaryproof via Tipping Point; Chris Ries via Tipping Point, Hisashi Kojima di Fujitsu Laboratories via JPCERT/CC; iDefense, Marc Schoenefeld di Red Hat, Peter Vreugdenhil di TippingPoint DVLabs, e Harmony Security Stephen via TippingPoint.
http://www.oracle.com/technetwork/ |
Java consente di giocare online e su Facebook, chattare con persone in tutto il mondo e visualizzare immagini 3D, solo per citare alcune funzionalità. È inoltre integrato con le applicazioni intranet e altre soluzioni di e-business. Le vulnerabilità di Java sono comunemente sfruttate in attacchi drive-by download per infettare gli utenti con malware. In realtà, secondo le statistiche sul live Web, gli sfruttamenti delle installazioni kit su Java sono tra le più efficaci. Questo suggerisce la presenza di un gran numero di impianti obsoleti Java sui computer degli utenti e l'inefficace programma di aggiornamento di Java, che avviene solo una volta al mese, è in parte responsabile.
Java è richiesto per alcune popolari applicazioni desktop, come OpenOffice, per funzionare correttamente, ma è stato superato sul Web soprattutto da tecnologie come AJAX e HTML5. Dal momento che la stragrande maggioranza degli attacchi vengono dal Web, Oracle invita tutti gli utenti Java ad installare tempestivamente l'"Update 26" di Java JRE/JDK 6.0 o comunque di aggiornarsi all'ultima release destinata alle precedenti versioni della piattaforma.
E' bene sempre controllare di aver rimosso tutte le precedenti versioni di Java che dovessero essere ancora presenti sul sistema in uso. Come ricorda Oracle, "conservare nel sistema versioni obsolete e non supportate rappresenta un grave rischio per la sicurezza". Il download dell'Update 26 può essere effettuato dal sito ufficiale. Gli sviluppatori possono scaricare l'ultima versione da questa pagina. Le prossime tre date per Java SE Oracle Critical Patch Updates saranno il 18 ottobre 2011, il 14 feb 2012 e il 12 Giugno 2012.
Nessun commento:
Posta un commento