Oracle ha appena rilasciato il suo Critical Patch Update di giugno 2013 per Oracle Java SE. Questo Critical Patch Update numero 25 di Java 7, è una raccolta delle patch per tappare diverse vulnerabilità di sicurezza in Oracle Java SE. L'aggiornamento contiene in totale 40 nuove correzioni di vulnerabilità di sicurezza, 37 delle quali affrontano delle vulnerabilità che portano all'esecuzione di malware. Le vulnerabilità di sicurezza sono segnati con CVSS versione 2.0.
Tra gli aggiornamenti uno risolve una vulnerabilità frame injection trovata nello strumento JavaDoc, un generatore di documentazione comunemente usato nei siti web. A causa della minaccia rappresentata da un attacco di successo, Oracle raccomanda vivamente di applicare il Critical Patch Update al più presto possibile. La suddetta vulnerabilità, identificata come CVE-2013-1571, può essere usata per rubare importanti dati degli utenti, iniettando un frame controllato dall'attaccante generato nella pagina JavaDoc HTML.
Javadoc è uno strumento che genera documentazione .HTML da commenti Javadoc nel codice. Java fornisce un meccanismo automatico per generare la documentazione in formato .HTML. La vulnerabilità è dovuta a un difetto nel codice JavaScript che è incluso come parte delle pagine HTML generate dallo strumento Javadoc. Quindi tutti i siti web che utilizzano tali pagine HTML possono essere sfruttate da un utente malintenzionato per rubare i loro dati utente o per installare malware reindirizzando l'utente ignaro al sito web controllato dall'utente malintenzionato.
Questa vulnerabilità può essere utilizzata attraverso tecniche d'ingegneria sociale o tramite phishing, e potrebbe essere utilizzata per lo sfruttamento del browser web, se combinata con un'altra vulnerabilità del browser correlata. Oracle ha rilasciato in particolare due correzioni nel suo Critical Patch Update per risolvere questa vulnerabilità. Un'altra vulnerabilità facilmente sfruttabile nel componente Java Runtime Environment di Oracle Java SE, permette attacchi di rete riusciti non autenticati tramite protocolli multipli.
Un attacco di successo di questa vulnerabilità, identificata come CVE-2013-2400, può causare aggiornamento non autorizzato, inserire o cancellare l'accesso ad alcuni dati accessibili Runtime Environment Java. Le seguenti versioni di Oracle Java SE sono interessate: JDK e JRE 7 Update 21 e versioni precedenti; JDK e JRE 6 Update 45 e precedenti; JDK e JRE 5.0 Update 45 e precedenti; JavaFX 2.2.21 e precedenti. Le prossima data in programma per Oracle Java SE Critical Patch Update è il 15 ottobre 2013.
Via: Oracle
Nessun commento:
Posta un commento