Oracle rilascia nuove correzioni Java, accelera il ciclo di patch

Oracle ha rilasciato nuovi aggiornamenti di sicurezza Java martedì e ha annunciato piani per accelerare il rilascio di future patch Java dopo attacchi recenti che hanno infettato i computer con malware sfruttando le vulnerabilità zero-day nei plug-in del browser Java.

I nuovi aggiornamenti, Java 7 Update 15 e Java 6 Update 41, risolvono cinque ulteriori vulnerabilità che non possono essere incluse nell'aggiornamento Java di emergenza Oracle rilasciato il 1 febbraio a causa di limiti di tempo. Al momento, Oracle ha interrotto il ciclo di patching programmato in Java di 4 mesi per correggere una vulnerabilità sfruttata dagli hacker.

Quattro delle cinque vulnerabilità affrontate negli aggiornamenti di martedì possono essere sfruttate tramite Java Web Start applicazioni su desktop e applet Java nei browser Internet, Eric Maurice, direttore di Oracle di software assurance, ha dichiarato martedì in un post sul blog.

[Ulteriori letture: come rimuovere malware dal PC Windows]

Tre di queste quattro vulnerabilità ha ricevuto la valutazione più alta sulla scala del sistema di valutazione delle vulnerabilità comuni - 10 - il che significa che sono fondamentali e possono essere sfruttati per compromettere completamente la riservatezza, l'integrità e la disponibilità dei sistemi in cui Java viene eseguito con privilegi di amministratore, come Windows XP. Su sistemi in cui Java non viene eseguito con privilegi amministrativi, come Linux o Solaris, l'impatto è inferiore, ha dichiarato Maurice.

La quinta vulnerabilità riguarda le distribuzioni server di Java Secure Socket Extension (JSSE) e deriva dall'attacco Lucky Thirteen contro le implementazioni SSL / TLS che i ricercatori di sicurezza hanno rivelato all'inizio di questo mese.

Anche se il nuovo Java 6 Update 41 è disponibile per il download dal sito Web di Oracle, non è disponibile da Java.com e deve essere ottenuto manualmente. La funzione di aggiornamento nelle installazioni di Java 6 richiederà agli utenti di scaricare e installare Java 7 Update 15.

Si trattava di una mossa pianificata da Oracle, che in precedenza annunciava sul suo sito web che "avvierà l'auto-aggiornamento di tutti gli utenti Windows a 32 bit da Da JRE 6 a JRE 7 con la versione di aggiornamento di Java, Java SE 7 Update 15 (Java SE 7u15), prevista per febbraio 2013. "

Oracle velocizzerà il ciclo di patching per Java. "L'intento di Oracle è quello di continuare ad accelerare il rilascio di correzioni Java, in particolare per aiutare ad affrontare la sicurezza di Java Runtime Environment (JRE) nei browser desktop", ha detto Maurice.

Il prossimo aggiornamento programmato delle patch critiche per Java SE essere rilasciato il 16 aprile, due mesi da oggi anziché quattro, e arriverà contemporaneamente all'aggiornamento della patch critica per i prodotti non Java di Oracle. Il prossimo aggiornamento della patch Java sarà pianificato per il 18 giugno.