Oracle rilascia update di emergenza per chiudere falla critica in Java


Oracle ha rilasciato una patch di sicurezza per chiudere una vulnerabilità in Java che, se lasciata incontrollata potrebbe portare alla completata compromissione dei sistemi Microsoft Windows. Contestualmente Microsoft ha rilasciato 13 aggiornamenti destinati alla risoluzione di alcuni problemi presenti in Windows, Office, Internet Explorer e Microsoft Edge. Adobe ha rilasciato 4 aggiornamenti che risolvono diverse vulnerabilità nei prodotti Photoshop, Bridge, Flash Player, Experience Manager e Adobe Connect. La lacuna di sicurezza di Oracle risolvere un difetto che può essere sfruttato quando Java versione 6, 7 o 8 è installata su una piattaforma Windows.

Secondo il bollettino di Oracle, la vulnerabilità di sicurezza CVE-2016-0603 è sfruttabile da remoto e consente agli aggressori di compromettere una rete senza la necessità di nomi utente o password. Tuttavia, al fine di sfruttare il bug di sicurezza, un utente malintenzionato dovrebbe ingannare l'utente a visitare un sito Web malevolo ed indurlo al download di file infetti sulla loro macchina. Ma mentre questo sarebbe difficile da raggiungere, uno sfruttamento con successo della vulnerabilità potrebbe comportare la compromissione completa del sistema di un utente. La patch è cumulativa e, pertanto, qualsiasi rete su cui è installata riceve anche tutte le correzioni esistenti dei precedenti Critical Patch Updates e avvisi di sicurezza. 

Il problema si chiama DLL hijacking e si riferisce al fatto che gli autori di malware possono inserire DLL con lo stesso nome in determinate posizioni su file system del bersaglio e caricare la DLL dannosa al posto di quella di sicurezza. Questo tipo di attacco è molto antico ed è conosciuto da molti fornitori di software, e soprattutto dagli autori di malware, che a volte lo preferiscono perché permette loro di dirottare applicazioni legittime e convincono gli utenti fare doppio clic per eseguire il proprio binario dannoso. A gennaio la società ha emesso 248 patch, il suo più grande aggiornamento mai rilasciato, secondo una fornitore di sicurezza. A titolo di confronto, l'ultimo aggiornamento del 2015, nel mese di ottobre, è stato di 154 patch.

Cinque delle vulnerabilità di gennaio hanno il più alto livello di gravità secondo Vulnerability Scoring System. Come promemoria, i Critical Patch Updates (CPU) vengono attualmente rilasciati 4 volte all'anno, su un programma annunciato con un anno di anticipo. Oracle continua a ricevere periodicamente segnalazioni di tentativi di sfruttare maliziosamente le vulnerabilità per la quale Oracle ha già rilasciato le relative correzioni. In alcuni casi, gli aggressori continuano ad avere successo perché i clienti non hanno applicato le patch di Oracle disponibili. Secondo il Critical Patch Updates consultivo di gennaio, molte delle correzioni riguardano i prodotti ampiamente utilizzati inclusi Oracle Database e Oracle E-Business Suite (78). 

Secondo Oracle, nessuna delle vulnerabilità che riguardano il database sono sfruttabili da remoto senza autenticazione. Trentatré aggiornamenti di sicurezza riguardano Oracle Enterprise Manager Grid Control. Ventitré di queste vulnerabilità possono essere sfruttati anche da remoto senza autenticazione. Altre applicazioni Oracle con un gran numero di bug corretti includono l'Oracle Fusion Middleware (27), System (23), e Oracle MySQL (22). Oracle raccomanda vivamente agli utenti domestici Java di visitare il  sito Web Java.com, per assicurarsi che stanno utilizzando il prodotto più recente di Java (Version 8 Update 73) e consiglia di rimuovere le versioni obsolete di Java SE dal loro computer se non sono assolutamente necessarie.



Nessun commento:

Posta un commento