Una vulnerabilità in Java Security Manager consente ad un applet Java di concedere il permesso di eseguire codice arbitrario. Un utente malintenzionato potrebbe utilizzare tecniche di ingegneria sociale per invogliare l'utente a visitare un link ad un sito Web che ospita una applet Java maligna. Un utente malintenzionato potrebbe inoltre compromettere un sito Web legittimo e caricare una applet Java maligna (un attacco "drive-by download").
Qualsiasi browser Web che utilizza il plug-in Java 7 plug-in è interessato. Il Java Deployment Toolkit plug-in e Java Web Start possono anche essere utilizzati come vettori di attacco. I rapporti indicano che questa vulnerabilità viene attivamente sfruttata, e il codice di exploit è disponibile al pubblico, secondo quanto riporta l'US CERT. Per questo motivo Oracle è corsa ai ripari, rilasciando nelle scorse ore una patch d'emergenza per risolvere il problema.
L'aggiornamento Java SE che risolve la vulnerabilità CVE-2013-0422 è cumulativo, includendo tutte le correzioni precedenti di patch e avvisi di sicurezza critici. Gli sviluppatori possono scaricare l'ultima versione di Java SE JDK e JRE 7 da qui. Gli utenti che eseguono Java SE possono scaricare l'ultima versione di JRE 7 Update 11 dal sito ufficiale. Gli utenti della piattaforma Windows pssono utilizzare anche gli aggiornamenti automatici per ottenere l'ultima JRE 7 rilasciata.
Contestualmente Microsoft ha deviato dal suo consueto ciclo di patch mensile per il rilascio di un aggiornamento di emergenza per riparare un buco di sicurezza critico nel suo browser Internet Explorer che gli aggressori hanno sfruttato per entrare nei PC Windows. L'aggiornamento out-of-band per la protezione risolve completamente il problema descritto nel Security Advisory 2794220.
Microsoft sostiene di aver visto solo un numero limitato di attacchi contro la falla, ma ha riconosciuto in un post sul blog che "esiste la possibilità che un maggior numero di clienti potrebbero essere interessati". Prima di oggi, Microsoft ha rilasciato un Fix It palliativo per aiutare a proteggersi dagli attacchi che sfruttano la falla di IE. Secondo Microsoft, "se in precedenza è stata applicata la correzione offerta attraverso la consulenza, non è necessario disinstallarla prima di applicare l'aggiornamento per la protezione odierno.
Tuttavia, la correzione non è più necessaria dopo che l'aggiornamento per la protezione è stato installato, quindi raccomandiamo di disinstallarla dopo aver applicato l'aggiornamento al sistema". Gli utenti che hanno applicato la soluzione Fix It possono disinstallarla facendo clic sull'icona Fix It sotto la dicitura "Disattiva soluzione shim MSHTML" in questa pagina. Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Internet Explorer versioni 6, 7, e 8.
La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 su client Windows e di livello moderato per Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 su server Windows. Internet Explorer 9 e Internet Explorer 10 non sono colpiti. Per ulteriori informazioni, vedere il bollettino 2799329. Microsoft ringrazia Exodus Intelligence per aver collaborato con noi per risolvere la vulnerabilità.
Non si tratta di un aggiornamento cumulativo e non richiede il riavvio del sistema. La maggior parte dei clienti che hanno l'aggiornamento automatico abilitato, non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. I clienti che non hanno attivato la funzionalità "Aggiornamenti automatici" devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente.
Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871. Per l'installazione da parte delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.
Non si tratta di un aggiornamento cumulativo e non richiede il riavvio del sistema. La maggior parte dei clienti che hanno l'aggiornamento automatico abilitato, non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. I clienti che non hanno attivato la funzionalità "Aggiornamenti automatici" devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente.
Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871. Per l'installazione da parte delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.
Nessun commento:
Posta un commento