Oracle lancia un altro aggiornamento Java, risolvendo 50 vulnerabilità

In seguito alle rivelazioni di ricercatori di sicurezza sulle vulnerabilità nell'ultimo aggiornamento di Java rilasciato a gennaio, Oracle ha anticipato rapidamente un altro pacchetto di correzioni per il linguaggio di programmazione.

L'ultimo aggiornamento, originariamente previsto per il rilascio a febbraio 19, contiene 50 correzioni di sicurezza per 49 difetti che erano sfruttabili da remoto senza autorizzazione. Ciò significa che possono essere utilizzati su una rete senza la conoscenza di un nome utente e una password.

Oracle ha detto che è stato aggiornato presto perché una delle vulnerabilità affrontate nell'aggiornamento viene già sfruttata in natura.

[Letture: Come rimuovere malware dal PC Windows]

"A causa della minaccia rappresentata da un attacco riuscito, Oracle consiglia vivamente ai clienti di applicare le correzioni della CPU il prima possibile", ha avvertito la società in un avviso di aggiornamento.

Oracle si è affrettato una correzione di sicurezza per Java a gennaio dopo che il Computer Emergency Readiness Team (US-CERT) del Department of Homeland Security ha raccomandato che il software sia disabilitato da tutti i suoi utenti a causa di problemi di sicurezza. Queste preoccupazioni riguardavano una vulnerabilità Zero Day sfruttata da toolkit creati da criminali informatici e utilizzata per sottrarre informazioni sensibili dai computer.

Anche dopo il rilascio di tale correzione, Java 7 update 11, l'agenzia continuava a consigliare di disattivare Java a meno che l'utilizzo non fosse assolutamente necessario.

Divenne rapidamente evidente che la correzione 7u11 aveva perso il suo segno. Pochi giorni dopo il rilascio, un hacker ha iniziato a vendere sul mercato nero online una coppia di nuove vulnerabilità Java Zero Day per $ 5000 ciascuna.

Altri hacker, forse privi delle capacità per trovare vulnerabilità, iniziarono a sfruttare i titoli dei guai di Java montando spedizioni di phishing che offrono aggiornamenti falsi del linguaggio di programmazione di Oracle. Dopo l'installazione da parte di un utente, l'aggiornamento falso installa una backdoor su un sistema che consente a un hacker di controllarlo.

I difetti trovati nell'aggiornamento

Le disavventure di Java continuarono quando nel corso del mese Security Explorations, una società di sicurezza polacca con una storia di ricerca di difetti di sicurezza in Java, ha scoperto nuove vulnerabilità nell'aggiornamento 7u11 che potrebbero essere sfruttate per evitare la sandbox del programma, una tecnica di programmazione utilizzata per isolare il danno che il codice dannoso può fare a un sistema.

"Questi problemi continueranno fino a quando Oracle risolverà la sandbox ", ha detto in un'intervista Bogdan Botezatu, analista di E-Threat Senior di Bitdefender.

Botezatu era critico su quanto Oracle si affidava agli utenti per mantenere la sicurezza nell'aggiornamento 7u11.

Ad esempio, l'aggiornamento imposta, per impostazione predefinita, il livello di sicurezza più alto per Java. A quel livello, ogni volta che un'applet Java senza firma tenta di essere eseguita in un browser, viene visualizzato un messaggio che avverte l'utente che l'app potrebbe essere pericolosa e che l'utente deve procedere a proprio rischio.

In genere, gli utenti ignorano tali avvisi perché li trovano fastidiosi. Questo è particolarmente vero per i bambini che giocano a giochi Java sul Web - un fatto, sottolinea Botezatu, non perso nei disperati digitali. "Ho visto molti siti Web che eseguono malware Java su pagine ottimizzate con parole chiave rivolte ai bambini", ha affermato.

Con l'ultimo aggiornamento Java, Oracle potrebbe tentare di cambiare fortuna con il programma. Sembra che abbia saltato l'aggiornamento 12 nel suo schema di numerazione e designato l'ultimo pacchetto di correzioni Java 7 update 13.