Oracle ha rilasciato 26 aggiornamenti per la sua piattaforma Java SE 6, al fine di affrontare una serie di 17 vulnerabilità sfruttabile da remoto, molte delle quali potrebbero causare l'esecuzione di codice arbitrario. Delle patch incluse, undici si applicano solo per il client Java SE e uno solo per la versione server. Le nove vulnerabilità portano il punteggio massimo di 10 sulla scala CVSS. Questo significa che possono essere sfruttate da remoto con facilità e senza autenticazione con conseguente completa riservatezza, integrità e disponibilità alla compromissione. I punteggi sono stati calcolati secondo la presunzione che gli utenti abbiano privilegi amministrativi, tipicamente su Windows, e sono in grado di eseguire applet Java o applicazioni Java Web Start. Tre delle restanti vulnerabilità portano un punteggio base di 7,6 CVSS, quattro di 5,0 e una di 2.6. CVSS è un sistema di valutazione della vulnerabilità progettato per fornire un metodo aperto e standardizzato per la valutazione delle vulnerabilità IT."A causa della minaccia rappresentata da un attacco riuscito, Oracle raccomanda vivamente ai clienti di applicare CPU (Critical Patch Update) che consente di risolvere il più presto possibile", scrive la società nella sua consulenza. Le vulnerabilità di Java sono comunemente sfruttate in attacchi drive-by download per infettare gli utenti con malware.
Java è richiesto per alcune popolari applicazioni desktop, come OpenOffice, per funzionare correttamente, ma è stato superato sul Web soprattutto da tecnologie come AJAX e HTML5. Le seguenti persone o organizzazioni hanno segnalato le vulnerabilità affrontate da Oracle: Zero Day un giornalista anonimo di TippingPoint; binaryproof via iDefense; binaryproof via Tipping Point; Chris Ries via Tipping Point, Hisashi Kojima di Fujitsu Laboratories via JPCERT/CC; iDefense, Marc Schoenefeld di Red Hat, Peter Vreugdenhil di TippingPoint DVLabs, e Harmony Security Stephen via TippingPoint. Dal momento che la stragrande maggioranza degli attacchi vengono dal Web, Oracle invita tutti gli utenti Java ad installare tempestivamente l'"Update 26" di Java JRE/JDK 6.0 o comunque di aggiornarsi all'ultima release destinata alle precedenti versioni della piattaforma. E' bene sempre controllare di aver rimosso tutte le precedenti versioni di Java che dovessero essere ancora presenti sul sistema in uso. Come ricorda Oracle, "conservare nel sistema versioni obsolete e non supportate rappresenta un grave rischio per la sicurezza". Il download dell'Update 26 può essere effettuato dal sito ufficiale. Gli sviluppatori possono scaricare l'ultima versione da questa pagina. Le prossime tre date per Java SE Oracle Critical Patch Updates saranno il 18 ottobre 2011, il 14 feb 2012 e il 12 Giugno 2012.
Nessun commento:
Posta un commento