Sun Microsystems ha da poco rilasciato gli aggiornamenti per la risoluzione di una lunga lista di vulnerabilità di sicurezza scoperte all’interno di Java JRE (Java Runtime Environment).
La varie problematiche interessano, senza distinzioni, gli utenti di Windows, Linux e Solaris e potrebbero essere sfruttate, da parte di aggressori remoti, per evitare alcune restrizioni, per modificare dati, impossessarsi di informazioni personali o dati sensibili, per danneggiare il sistema. E’ ciò che emerge dall’analisi operata da Secunia e pubblicata sul suo sito web (ved. questa pagina).
Sul blog di Sun si conferma l’esistenza di undici differenti vulnerabilità all’interno della piattaforma Java 2 Standard Edition.
Ecco una breve disamina delle falle scoperte e sanabili mediante l’applicazione delle patch appena rese disponibili:
1. un’applet Java maligna potrebbe essere in grado di effettuare connessioni di rete su sistemi differenti dalla macchina dalla quale l’applet stessa è stata prelevata.
2. alcuni bug in Java Web Start potrebbero permettere ad applicazioni sconosciute e potenzialmente nocive di leggere il contenuto di file memorizzati sul sistema locale o di guadagnare permessi in scrittura.
3. tre vulnerabilità in Java Web Start possono consentire la determinazione della posizione della cache del programma.
4. una vulnerabilità in JRE può consentire, ad un’applicazione sconosciuta, di spostare e copiare file sul sistema ove l’applicazione stessa o l’applet si trova in esecuzione. Per sfruttare la vulnerabilità, l’aggressore deve persuadere l’utente ad trascinare un file sulla finestra dell’applicazione o sull’applet.
5. JRE mostra un messaggio d’allerta ogniqualvolta un’applicazione “non fidata” visualizza una finestra. In certe circostanze, quando la finestra mostrata eccede le dimensioni dello schermo dell’utente, il messaggio di allerta potrebbe non essere proposto.
6. JRE potrebbe facilitare l’avvio di connessioni di rete attraverso API Java partendo da un semplice Javascript “maligno”.
Le versioni interessate dalle vulnerabilità sono le seguenti:
* JDK e JRE 6 Update 2 (e precedenti)
* JDK e JRE 5.0 Update 12 (e precedenti)
* SDK e JRE 1.4.2_15 (e precedenti)
* SDK e JRE 1.3.1_20 (e precedenti)
Tutti gli utenti sono invitati ad aggiornarsi alle versioni più recenti (ved. il sito ufficiale), esenti da problemi. JRE (acronimo di “Java Runtime Environment”) permette al sistema operativo di eseguire applicazioni sviluppate nel linguaggio Java. Tali software possono essere distribuiti nella forma “stand alone”, ossia eseguibili localmente sul personal computer in uso oppure integrati nelle pagine web (si parla di “applet” Java).
E’ possibile verificare la versione di JRE eventualmente installata ed in uso sul proprio sistema, collegandosi con questa pagina. Immediatamente sotto il paragrafo “Test your JVM”, dovrebbero comparire tutti i dettagli relativi alla JRE installata insieme con un’immagine animata.
Qualora ciò non dovesse accadere, è possibile che la JRE non risulti installata sul personal computer oppure che l’esecuzione delle applet Java venga in qualche modo bloccata (da browser oppure attraverso le funzionalità messe a disposizione dai più moderni software “personal firewall” che integrano funzionalità di filtro dei contenuti inseriti nelle pagine Internet).
Java è un linguaggio estremamente potente: se si preferisce evitare del tutto di imbattersi in applet Java potenzialmente nocive, è possibile disattivarne l’esecuzione da browser (in Internet Explorer, menù Strumenti, Opzioni Internet, scheda “Avanzate”, sezione “Java”; in Mozilla Firefox, menù Strumenti, Opzioni, scheda Contenuti, disabilitare la casella Attiva Java) oppure da software firewall. Disattivando le applet, si potranno comunque eseguire applicazioni sviluppate in Java sul personal computer.
Sono infatti un sempre maggior numero le applicazioni che poggiano su Java (soprattutto quelle contabili e gestionali): uno dei vantaggi principali deriva infatti dal fatto che JRE può essere installato su piattaforme completamente diverse (Windows, Linux, Solaris).