Oracle è stata costretta a rilasciare l’ennesimo aggiornamento per il pacchetto Java. Il software che consente l’esecuzione di applicazioni scritte in Java è sempre più spesso bersaglio di attacchi tesi a sfruttare sia le vulnerabilità note che quelle ad oggi sconosciute. Trattandosi di un prodotto multipiattaforma, Java è ormai costantemente preso di mira perché facendo leva sulle sue lacune di sicurezza i malintenzionati possono eseguire codice nocivo non solo sui sistemi Windows ove il pacchetto di Oracle risulta installato ma, ove possibile, anche sulle macchine Mac OS X.
Alcune falle zero-day presenti in Java, peraltro assolutamente sconosciute ai tecnici di Oracle, sono state utilizzate di recente per bersagliare aziende di elevato profilo come Twitter, Facebook, Apple, New York Times e Wall Street Journal (Aggredita anche Apple: si punta di nuovo il dito su Java; Facebook conferma: una lacuna di Java dietro l’attacco). Sarebbero proprio le pericolose lacune sfruttate negli attacchi mirati delle scorse settimane ad essere state sistemate da parte di Oracle con il rilascio di Java 7 Update 17 e di Java 6 Update 43.
Oracle, tra l’altro, aveva ventilato l’eventualità di abbandonare il supporto di Java 6 a partire da fine febbraio. In realtà ciò non è avvenuto probabilmente a seguito delle vulnerabilità che sono venute a galla negli ultimi tempi: sono ancora tanti gli utenti che fanno uso di questa versione di Java e si è evidentemente preferito metterla quanto più possibile in sicurezza.
Java JRE e Java JDK dovrebbero essere installati sul personal computer solo se effettivamente necessari: ove possibile se ne consiglia la completa disinstallazione o comunque la rimozione dei plugin che ne permettono il supporto da parte dei vari browser web. Nonostante Java JRE e Java JDK risultino oggi indispensabili per eseguire una ristretta cerchia di software (molto spesso si tratta di gestionali o comunque di software verticali), i pacchetti sono presenti addirittura sull’80% dei sistemi “consumer”.
Suggeriamo quindi di approfondire l’argomento attraverso la lettura del nostro articolo Java è sicuro? Come difendersi dalle minacce più recenti.
Purtroppo, come ad esempio accade nel caso di alcuni software dell’Agenzia delle Entrate, alcune applicazioni richiedono – come requisito indispensabile – la presenza di una vecchia versione del pacchetto Java. Inutile sottolineare come la presenza, sul sistema, di una version obsoleta di Java rappresenti una vera e propria minaccia per la sicurezza. In questi frangenti è bene disattivare i vari plugin in modo tale da impedire l’esecuzione di applet presenti nelle pagine web, usare il pacchetto Java da una macchina virtuale oppure applicare un espediente per “trarre in inganno” l’applicazione che effettua il controllo sulla versione di Java in uso.