A pochi giorni dalla pubblicazione dei dettagli su una pericolosa vulnerabilità di Java, Oracle ha rilasciato un Security Alert per risolvere tre vulnerabilità distinte ma correlate e un singolo problema di sicurezza a più livelli di cui è affetto il pacchetto Java funzionante sui browser desktop. Queste vulnerabilità sono: CVE-2012-4681, CVE-2012-1682, CVE-2012-3136 e CVE-2012-0547.
Queste vulnerabilità non sono applicabili alle app desktop standalone Java o Java in esecuzione sul server, vale a dire queste vulnerabilità non influenzano alcun software basato su server Oracle. Le vulnerabilità CVE-2012-4681, CVE-2012-1682 e CVE-2012-3136 hanno ricevuto un punteggio CVSS di base 10,0. Questo punteggio presuppone che gli utenti interessati debbano disporre di privilegi amministrativi, come è tipico in Windows XP.
La vulnerabilità CVE-20120-0547 ha ricevuto un punteggio CVSS di base 0.0, perché questa vulnerabilità non è sfruttabile direttamente nelle distribuzioni degli utenti tipici, ma Oracle ha rilasciato una protezione in profondità per correggere questo problema in quanto può essere utilizzato in combinazione con altri fattori di vulnerabilità per aumentare in modo significativo l'impatto complessivo di un exploit di successo.
Se sfruttata, questa vulnerabilità può fornire ad un malintenzionato la possibilità di piantare binari discrezionali sul sistema compromesso, ad esempio, la vulnerabilità può essere sfruttata per installare malware, tra cui trojan, sul sistema di destinazione. Si noti che questo malware può in alcuni casi essere rilevato da correnti firme antivirus al momento dell'installazione.
A causa della gravità elevata di queste vulnerabilità, Oracle consiglia di applicare questo Avviso di protezione il più presto possibile. Inoltre, si noti che i dettagli tecnici di queste vulnerabilità sono ampiamente disponibili su Internet e Oracle ha ricevuto segnalazioni esterne che queste vulnerabilità possono essere sfruttate in natura. Gli sviluppatori devono scaricare l'ultima versione da http://www.oracle.com/technetwork/java/javase/downloads/index.html.
Gli utenti Java utenti devono scaricare l'ultima versione di JRE a http://java.com/it, e, naturalmente, gli utenti Windows possono usufruire del Java Automatic Update per ottenere la versione più recente. Gli utenti possono verificare l'esecuzione della versione più recente di Java visitando: http://java.com/it/download/installed.jsp. Le istruzioni per la rimozione di vecchie (e meno sicure) versioni di Java può essere trovato a http://java.com/it/download/faq/remove_olderversions.xml.
Nessun commento:
Posta un commento