Oracle ha rilasciato da qualche giorno una nuova versione di Java SE 7 che introduce un'importante novità per la sicurezza. Oracle ha aggiunto una funzione in Java che consente alle aziende di impostare regole specifiche per consentire l'esecuzione sul proprio computer endpoint di applet fidate, che potrebbe aiutarle a gestire meglio i rischi di sicurezza di Java. La nuova funzionalità si chiama "Deployment Rule Set" (set di regole di distribuzione) ed è stata aggiunta in Java 7 Update 40 (Java 7u40).
Molti utenti domestici possono proteggersi da attacchi rivolti a Java disabilitando il plug-in Java nei browser o disinstallando completamente il software. Tuttavia, la maggior parte delle aziende non possono farlo, perché i loro dipendenti hanno bisogno di accedere alle applicazioni web-based, business-critical che richiedono il supporto Java. Molte aziende non possono effettuare l'aggiornamento a nuove versioni di Java per ragioni di compatibilità, aumentando il rischio di compromissione dei loro computer attraverso exploit Java, mentre i loro dipendenti navigano sul web.
Un recente studio condotto dalla società di sicurezza Bit9 ha mostrato che oltre l'80% dei computer aziendali Java-enabled funziona con Java 6, la versione più diffusa essendo Java 6 Update 20. Oracle ha concluso il suo sostegno pubblico di Java 6 in aprile e solo gli utenti con contratti di supporto commerciale possono ancora ottenere le patch di sicurezza. I ricercatori di sicurezza hanno criticato Oracle in passato per non aver aggiunto una funzione whitelist in Java che potrebbe essere utilizzata per consentire solo le applet specifiche scelti dall'utente da eseguire all'interno del browser.
Sembra che la società abbia ascoltato e il nuovo "set di regole di distribuzione" può ora essere utilizzato per continuare a utilizzare le applicazioni aziendali in un contesto di protezione. La funzionalità Deployment Rule Set permette di creare un file XML contenente regole per come applet conosciute dovrebbero essere gestite dal plug-in Java. Le regole stabiliscono le Java RIA applications (Rich Internet), applet Java e le applicazioni Java Web Start, dalla loro locazione URL e definiscono le azioni che devono essere intraprese per loro.
Le azioni possibili sono: eseguire senza visualizzare messaggi di protezione e gestire utilizzando il comportamento predefinito del plug-in; in esecuzione durante la visualizzazione di tutte le richieste di sicurezza del caso o bloccarli. Le regole aggiunte al file XML vengono testati in sequenza, in modo che possano essere utilizzate per creare una white list. Gli amministratori possono creare prima le regole che dovrebbero corrispondere a specifiche RIA e permetterne l'avvio e quindi aggiungere una regola generale alla fine del file per bloccare tutte le applicazioni che non corrispondono alle prime regole.
Il file del set di regole deve essere firmato digitalmente con un certificato digitale emesso da un'autorità di certificazione attendibile, confezionato come un archivio Java (JAR) e collocato in una directory specifica all'interno dell'installazione di Java su tutti i computer in cui tali norme devono essere applicate. "La funzione set di regole di distribuzione è facoltativa e deve essere utilizzata solo internamente in un'organizzazione con un ambiente controllato", ha dichiarato Oracle nella documentazione della funzione.
"Se un file JAR che contiene un set di regole è distribuito o reso disponibile al pubblico, il certificato utilizzato per firmare il set di regole sarà dunque nella lista nera e bloccato in Java". Per la sintassi delle regole che sono necessarie per eseguire o bloccare le RIA, vedere il Java Deployment Rule Set. Le imprese devono installare Java 7 Update 40, ma è comunque possibile creare regole per le applicazioni compatibili con le vecchie versioni del plug-in. La nuova versione di Java 7 Update 40 è disponibile per il download da http://www.java.com/it/download/.
Fonte: Pc World
Via: Oracle
Nessun commento:
Posta un commento