Oracle rilascia fix di emergenza per exploit zero-day Java

Oracle ha rilasciato patch di emergenza per Java lunedì per affrontare due vulnerabilità critiche, una delle quali viene attivamente sfruttata dagli hacker in attacchi mirati.

Le vulnerabilità, identificate come CVE- 2013-1493 e CVE-2013-0809, si trovano nella componente 2D di Java e hanno ricevuto il punteggio di impatto più alto possibile da Oracle.

"Queste vulnerabilità possono essere sfruttate in remoto senza autenticazione, ovvero possono essere sfruttate su una rete senza bisogno di nome utente e password ", ha detto la società in un avviso di sicurezza. "Affinché un exploit abbia successo, un utente inconsapevole che esegue una versione interessata in un browser deve visitare una pagina Web dannosa che sfrutta queste vulnerabilità. Gli exploit di successo possono influire sulla disponibilità, l'integrità e la riservatezza del sistema dell'utente. "

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Gli aggiornamenti appena rilasciati eseguono il java su versioni 7 Update 17 (7u17) e 6 Update 43 (6u43), saltando sopra 7u16 e 6u42 per motivi che non erano immediatamente chiari.

Oracle rileva che Java 6u43 sarà l'ultimo aggiornamento disponibile pubblicamente per Java 6 e consiglia agli utenti di eseguire l'aggiornamento a Java 7. Il la disponibilità pubblica degli aggiornamenti di Java 6 doveva terminare con l'aggiornamento 41 di Java 6, rilasciato il 19 febbraio, ma sembra che la società abbia fatto un'eccezione per questa patch di emergenza.

La vulnerabilità CVE-2013-1493 è stata sfruttata attivamente da attaccanti almeno da giovedì scorso, quando i ricercatori della società di sicurezza FireEye hanno scoperto gli attacchi che lo utilizzavano per installare un pezzo di malware ad accesso remoto chiamato McRAT. Tuttavia, sembra che Oracle fosse a conoscenza dell'esistenza di questo difetto dall'inizio di febbraio.

"Sebbene siano state recentemente ricevute segnalazioni di sfruttamento attivo della vulnerabilità CVE-2013-1493, questo bug è stato originariamente segnalato a Oracle il 1 ° febbraio 2013, purtroppo troppo tardi per essere incluso nella release del 19 febbraio di Critical Patch Update per Java SE, "ha detto Eric Maurice, direttore di Oracle di software assurance, in un post sul blog di lunedì.

La società aveva pianificato di correggere CVE-2013- 1493 nel prossimo aggiornamento delle patch critiche pianificate il 16 aprile, ha detto Maurice. Tuttavia, poiché la vulnerabilità ha iniziato a essere sfruttata dagli aggressori, Oracle ha deciso di rilasciare una patch prima.

Le due vulnerabilità affrontate con gli ultimi aggiornamenti non influiscono su Java in esecuzione su server, applicazioni desktop Java stand-alone o applicazioni Java integrate, Ha detto Maurice. Gli utenti sono invitati a installare le patch il prima possibile, ha detto.

Gli utenti possono disabilitare il supporto per il contenuto Java basato sul Web dalla scheda di sicurezza nel pannello di controllo Java se non hanno bisogno di Java sul Web. Le impostazioni di sicurezza per tale contenuto sono impostate su valori alti per impostazione predefinita, ovvero agli utenti viene richiesto di autorizzare l'esecuzione di applet Java non firmati o autofirmati all'interno dei browser.

È progettato per impedire lo sfruttamento automatico delle vulnerabilità di Java sul Web, ma funziona solo se gli utenti sono in grado di prendere decisioni informate su quali applet autorizzare e quali no. "Per proteggersi, gli utenti desktop dovrebbero consentire l'esecuzione di applet solo quando si aspettano tali applet e si fidano delle loro origini", ha detto Maurice.