Apple rilascia aggiornamenti critici di sicurezza per piattaforma Java


Oracle rilasciato all'inizio del mese aggiornamenti di sicurezza per i pacchetti Java SE 1.6.0_26 per Windows, Linux e Solaris, per il fix di un totale di diciassette vulnerabilità, nove dei quali portavano un punteggio massimo sulla scala CVSS. Ma l'aggiornamento non era disponibile per gli utenti Mac, perché Apple distribuisce il proprio pacchetto Java e gli aggiornamenti di sicurezza. L’update, consigliato ovviamente a tutti gli utenti, è dedicato ai Sistemi Operativi Leopard e Snow Leopard. 

Nelle scorse ore la società ha rilasciato Java per Mac OS X 10.5 Update 10 e Java per Mac OS X 10.6 Update 5. Java per Mac OS X 10.5 Update 10 risolve alcune vulnerabilità in entrambi 1.6.0_24 e 1.5.0_28 Java, mentre Java per Mac OS X 10.6 Update 5 solo nel primo. Due delle patch, per CVE-2011-0868 e CVE-2011-0869, si applicano solo a Java 1.6.0_24. Il resto, per CVE-2011-0802, CVE-2011-0814, CVE-2011-0862, CVE-2011-0864, ​​CVE-2011-0865, CVE-2011-0867, CVE-2011-0871 e CVE-2011 -0873 si applicano a entrambe le versioni. 

Gli utenti sono invitati a distribuire questi aggiornamenti di sicurezza il più presto possibile in quanto alcuni dei difetti possono essere sfruttati da remoto per eseguire codice arbitrario. Dopo l'applicazione di patch, i pacchetti Java verranno aggiornati alle versioni 1.6.0_26 e 1.5.0_30, rispettivamente. Gli hacker possono attaccare le installazioni obsolete Java ingannando gli utenti caricando un pericoloso applet Java. Questi possono essere serviti dalle legittimi siti web compromessi. 

Java è attualmente la tecnologia web più mirata su Windows, e sfruttata per essere integrata nella maggior parte dei kit di drive-by download. Ci sono state anche segnalazioni di malware per Mac che viene distribuito come applet Java. Alla fine di ottobre 2010 ricercatori di sicurezza ha scoperto una Java-based trojan chiamato Boonana che conteneva payload per Windows e Mac. L’aggiornamento può essere eseguito manualmente con gli installer standalone oppure (opzione consigliata) automaticamente attraverso Aggiornamento Software.

Nessun commento:

Posta un commento