Oracle ha deciso di rilasciare in anticipo il Critical Patch Update di febbraio 2013 (CPU) per Java SE. L'aggiornamento originale era stato programmato per essere rilasciato il 19 febbraio prossimo, ma Oracle ha deciso di accelerare il rilascio di questo CPU per lo sfruttamento attivo "in the wild" di una delle vulnerabilità che interessano il Java Runtime Environment (JRE) nei browser desktop.
Oltre al fix di sicurezza in profondità, la CPU di febbraio per Java SE si rivolge a un totale di 50 vulnerabilità, 44 delle quali influiscono sulla distribuzione del client di Java.
Tre dei bug possono essere sfruttati su desktop tramite Java Web Start e Java applet nel browser, o nei server, e due delle correzioni si applicano alla distribuzione server di Java Secure Socked Extension (JSSE).
49 di queste vulnerabilità possono essere sfruttate da remoto senza autenticazione, ad esempio, possono essere sfruttati tramite una rete senza la necessità di un nome utente e una password. La descrizione di questa matrice di rischio può essere trovata qui. I punteggi CVSS suppongono che un utente esegue un applet Java o applicazioni Java Web Start con privilegi di amministratore (tipico in Windows).
Quando l'utente non esegue con privilegi di amministratore (tipico su Solaris e Linux), i corrispondenti punteggi CVSS di impatto riservatezza, integrità e disponibilità sono "Parziali" invece di "Complete", abbassando il punteggio Base CVSS. Ad esempio, un punteggio base di 10,0 diventa 7,5. Per problemi nella distribuzione, le correzioni sono messi a disposizione solo per JDK e JRE 7 e 6.
Oracle raccomanda ai clienti di applicare le correzioni (Update 13) al più presto possibile. Fino a quando non verranno applicate le correzioni, è possibile ridurre il rischio di successo limitando i protocolli di rete richiesti da un attacco. Per gli attacchi che richiedono determinati privilegi o l'accesso a certi pacchetti, è possibile ridurre il rischio di successo di un attacco, eliminando i privilegi o la possibilità di accedere ai pacchetti da parte di utenti non privilegiati
49 di queste vulnerabilità possono essere sfruttate da remoto senza autenticazione, ad esempio, possono essere sfruttati tramite una rete senza la necessità di un nome utente e una password. La descrizione di questa matrice di rischio può essere trovata qui. I punteggi CVSS suppongono che un utente esegue un applet Java o applicazioni Java Web Start con privilegi di amministratore (tipico in Windows).
Quando l'utente non esegue con privilegi di amministratore (tipico su Solaris e Linux), i corrispondenti punteggi CVSS di impatto riservatezza, integrità e disponibilità sono "Parziali" invece di "Complete", abbassando il punteggio Base CVSS. Ad esempio, un punteggio base di 10,0 diventa 7,5. Per problemi nella distribuzione, le correzioni sono messi a disposizione solo per JDK e JRE 7 e 6.
Oracle raccomanda ai clienti di applicare le correzioni (Update 13) al più presto possibile. Fino a quando non verranno applicate le correzioni, è possibile ridurre il rischio di successo limitando i protocolli di rete richiesti da un attacco. Per gli attacchi che richiedono determinati privilegi o l'accesso a certi pacchetti, è possibile ridurre il rischio di successo di un attacco, eliminando i privilegi o la possibilità di accedere ai pacchetti da parte di utenti non privilegiati
Twitter ha annunciato di aver subito un attacco informatico che ha messo a rischio la sicurezza dei dati di 250 mila utenti. Anche se il portavoce di Twitter, Jim Prosser, non ha specificato come i cracker abbiano potuto piratare gli account, all'origine dell'attacco ci sarebbe proprio la vulnerabilità nel software Java di Oracle. Va segnalato, al riguardo, che Apple non consegna più computer con java attivato e ha già provveduto a disabilitare Java sui computer già installati.
Via: Oracle
Via: Oracle
Nessun commento:
Posta un commento