Oracle ha appena reso disponibile un nuovo aggiornamento per il pacchetto Java. Il software che consente l’esecuzione di applicazioni scritte in Java è sempre più spesso bersaglio di attacchi tesi a sfruttare sia le vulnerabilità note che quelle ad oggi sconosciute. Trattandosi di un prodotto multipiattaforma, Java è ormai costantemente preso di mira perché facendo leva sulle sue lacune di sicurezza i malintenzionati possono eseguire codice nocivo non solo sui sistemi Windows ove il pacchetto di Oracle risulta installato ma, ove possibile, anche sulle macchine Mac OS X.
Alcune falle zero-day presenti in Java, peraltro sconosciute ai tecnici di Oracle, sono state utilizzate – qualche tempo fa – per bersagliare aziende di elevato profilo come Twitter, Facebook, Apple, New York Times e Wall Street Journal (Aggredita anche Apple: si punta di nuovo il dito su Java; Facebook conferma: una lacuna di Java dietro l’attacco).
Se si ha la necessità di utilizzare Java, è bene verificare che il pacchetto sia sempre aggiornato all’ultima versione. La versione più recente (Java 7 Update 25) è prelevabile da questa pagina cliccando sul link “Windows non in linea“, nel caso del sistema operativo Microsoft.
Java 7 Update 25 risolve ben 40 vulnerabilità, molte delle quali sono valutate come di estrema gravità. Per evitare di correre rischi, soprattutto durante la navigazione sul web, è bene provvedere subito all’installazione dell’aggiornamento.
L’ultimo aggiornamento di Java corregge anche un problema presente in Javadoc, applicativo incluso nel Java Development Kit ed utilizzato per la generazione automatica della documentazione del codice sorgente. Sfruttando le lacune della release 1.5, un aggressore potrebbe riuscire a caricare codice dannoso nella pagina HTML precedentemente generata con JavaDoc.
Una delle innovazioni sicuramente più importanti è l’introduzione di un meccanismo di verifica della revoca dei certificati digitali. Java sarà d’ora in avanti ancora più attento nel controllare sia le applet che sono sprovviste di firma digitale (segnalando la cosa all’utente e richiedendo un suo intervento), sia quelle che usano certificati digitali per avere maggiori probabilità di andare in esecuzione. In questo caso, Java riuscirà a rilevare quali applicazioni stanno “giocando sporco” utilizzando certificati fasulli o rubati.
In ogni caso, i pacchetti Java JRE e Java JDK dovrebbero essere installati sul personal computer solo se effettivamente necessari: ove possibile se ne consiglia la completa disinstallazione o comunque la rimozione (oppure la disattivazione) dei plugin che ne permettono il supporto da parte dei vari browser web. Nonostante Java JRE e Java JDK risultino oggi indispensabili per eseguire una ristretta cerchia di software (molto spesso si tratta di gestionali o comunque di software verticali), i pacchetti sono presenti addirittura sull’80% dei sistemi “consumer”.
Suggeriamo quindi di approfondire l’argomento attraverso la lettura del nostro articolo Java è sicuro? Come difendersi dalle minacce più recenti.
Purtroppo, come ad esempio accade nel caso di alcuni software dell’Agenzia delle Entrate, alcune applicazioni richiedono – come requisito indispensabile – la presenza di una vecchia versione del pacchetto Java. Inutile sottolineare come la presenza, sul sistema, di una versione obsoleta di Java rappresenti una vera e propria minaccia per la sicurezza. In questi frangenti è bene disattivare i vari plugin in modo tale da impedire l’esecuzione di applet presenti nelle pagine web, usare il pacchetto Java da una macchina virtuale oppure applicare un espediente per “trarre in inganno” l’applicazione che effettua il controllo sulla versione di Java in uso (Quando un’applicazione richiede una versione specifica di Java).
Molti utenti che hanno installato Java sul proprio personal computer, non provvedono rimuovere le versioni più datate del pacchetto. Nel caso di Windows, accedendo al Pannello di controllo, è opportuno verificare che non siano presenti, sul sistema, versioni obsolete di Java. Eventualmente si potrà procedere con la loro disinstallazione appoggiandosi ad un software come JavaRa.