La scorsa settimana, il ricercatore francese "Kaffeine" ha individuato un certo numero di siti che sono stati sfruttati da vulnerabilità zero-day in Java 7 Update 10. In natura, l'exploit è stato confermato da altri ed è stato assegnato un identificatore di vulnerabilità CVE-2013-0422. Il problema colpisce sistemi Windows, Mac o Linux e ha messo potenzialmente a rischio oltre 850 milioni di PC.
La vulnerabilità è stata abbastanza grave da giustificare avvisi separati del governo degli Stati Uniti, Apple e Mozilla, ciascuno dei quali è intervenuto per disabilitare Java plug-in, o consigliato agli utenti di non utilizzare il software. La vulnerabilità, davvero molto grave tanto ha portato Oracle a rendere immediatamente disponibile una patch correttiva.
Oggi, la società ha rilasciato pareri sulla vulnerabilità, per voce del Software Security Assurance Director di Oracle Eric Maurice su uno dei blog di sicurezza, rilasciando il più recente aggiornamento Java 7 Update 11 per mitigare la vulnerabilità zero-day, ma anche il codice CVE-2012-3174. La disponibilità della patch arriva dopo l'allarme lanciato dal Dipartimento Usa della Homeland Security.
Secondo Oracle, la seconda "vulnerabilità facilmente sfruttabile permette il successo attacchi di rete non autenticati tramite più protocolli" , e che "un attacco di successo di questa vulnerabilità può causare acquisizione non autorizzata del sistema operativo, tra cui l'esecuzione di codice arbitrario".
Mentre sembra che siano disponibili ulteriori dettagli per CVE-2012-3174, la Mitre Common Vulnerability and Exposures database mostra che l'identificatore è stato assegnato il 6 giugno dello scorso anno. Come spiega ZDNet, identificativi CVE possono essere assegnati e riservati prima che una vulnerabilità venga conosciuta, ma sono generalmente usati entro un breve tempo di prenotazione.
A titolo di confronto, la CVE-2013-0422 è stato assegnata il 7 dicembre dello scorso anno, circa un mese prima che fosse scoperta dai ricercatori. A causa della gravità di queste vulnerabilità, Oracle raccomanda ai clienti di applicare gli aggiornamenti forniti dal suo security alert il più presto possibile.
Cliccare sul link nella colonna Patch Availability Table per accedere alla documentazione delle patch. Java 7 Update 11 porta anche un altro cambiamento per rinforzare la sicurezza che già esisteva in Java. Con la nuova patch, il livello di sicurezza di default di Java sarà cambiato da medio ad alto. Ciò comporterà che all'utente venga sempre richiesto quando esegue una applet Java o avvia l'applicazione Web se non è firmata.
Via: ZDNet
Nessun commento:
Posta un commento