Sun Microsystems, così come le varie aziende attive nel campo della sicurezza informatica, lanciano l’allerta circa una nuova pericolosa vulnerabilità scoperta nel Java Runtime Environment (JRE), nello specifico all’interno delle versioni “5.0 update 9” e precedenti, 1.4.2_12 e precedenti, 1.3.1_18 e precedenti.
La falla, appena messa a nudo, è stata subito marcata da Secunia come “altamente critica” (ved. questo bollettino): il rischio è infatti elevatissimo dato che, visitando un sito web con una versione “datata” di JRE, si potrebbe vedere eseguire codice potenzialmente dannoso sul proprio sistema. Un aggressore potrebbe sfruttare il problema semplicemente creando un’immagine GIF, confezionata “ad arte”, inserendola per esempio in una normale pagina web.
Sempre all’interno di Sun JRE e JDK, appena poco meno di un mese fa, erano state rilevate altre vulnerabilità particolarmente critiche: alcune di esse possono essere sfruttate da remoto per danneggiare il contenuto del sistema-vittima oppure per acquisire privilegi più elevati (applet maligne, potrebbero quindi essere in grado, di leggere e scrivere file sul personal computer dell’utente od avviare operazioni pericolose).
Tutti gli utenti sono invitati ad aggiornarsi alle versioni più recenti, esenti da problemi. Sun caldeggia la disinstallazione delle precedenti release e l’adozione della JRE 5.0 (versione 1.5.0_10; denominata anche “1.5 Update 10”).
Le versioni di Sun JRE al momento esenti da vulnerabilità di sicurezza conosciute, sono comunque le seguenti:
(15,8 MB circa).
JRE (acronimo di “Java Runtime Environment”) permette al sistema operativo di eseguire applicazioni sviluppate nel linguaggio Java. Tali software possono essere distribuiti nella forma “stand alone”, ossia eseguibili localmente sul personal computer in uso oppure integrati nelle pagine web (si parla di “applet” Java).
E’ possibile verificare la versione di JRE eventualmente installata ed in uso sul proprio sistema, collegandosi con questa pagina. Immediatamente sotto il paragrafo “Test your JVM”, dovrebbero comparire tutti i dettagli relativi alla JRE installata insieme con un’immagine animata.
Qualora ciò non dovesse accadere, è possibile che la JRE non risulti installata sul personal computer oppure che l’esecuzione delle applet Java venga in qualche modo bloccata (da browser oppure attraverso le funzionalità messe a disposizione dai più moderni software “personal firewall” che integrano funzionalità di filtro dei contenuti inseriti nelle pagine Internet).
Java è un linguaggio estremamente potente: se si preferisce evitare del tutto di imbattersi in applet Java potenzialmente nocive, è possibile disattivarne l’esecuzione da browser (in Internet Explorer, menù Strumenti, Opzioni Internet, scheda “Avanzate”, sezione “Java”; in Mozilla Firefox, menù Strumenti, Opzioni, scheda Contenuti, disabilitare la casella Attiva Java) oppure da software firewall. Disattivando le applet, si potranno comunque eseguire applicazioni sviluppate in Java sul personal computer.
Sono infatti un sempre maggior numero le applicazioni che poggiano su Java (soprattutto quelle contabili e gestionali): uno dei vantaggi principali deriva infatti dal fatto che JRE può essere installato su piattaforme completamente diverse (Windows, Linux, Solaris).