Oracle ha confermato l’esistenza di una pericolosa vulnerabilità nelle più recenti versioni di Java SE che potrebbe portare alla completa compromissione del sistema dell’utente. La falla di sicurezza, infatti, non richiede alcuna interazione e può essere sfruttata semplicemente inducendo l’utente a visitare una pagina web contenente un’applet Java malevola.
La società ha immediatamente esortato gli utenti di Java ad installare la più recente versione della piattaforma che risolve il problema di sicurezza (Java SE 7 Update 97, Java SE 8 Update 74 e versioni precedenti sono tutte interessate dalla vulnerabilità, su Windows, Solaris, Linux e Mac OS X).
Fortunatamente tutti i principali browser web stanno abbandonando il supporto ai plugin NPAPI (vedere Eliminare estensioni dal browser, attenzione anche a quelle degli antivirus e Flash Player è da scaricare oppure va disinstallato?); il plugin di Java non viene quindi più caricato risolvendo alla radice il problema: Chrome non lo carica da tempo ed Edge non supporta, per il momento, alcun componente aggiuntivo.
Gli utenti di Internet Explorer e Firefox dovrebbero invece verificare che il plugin di Java non venga caricato da parte del browser. Per accertarsene, qualunque browser si utilizzi, è possibile utilizzare questa pagina.
Per essere al sicuro, si dovrà ricevere il messaggio “Java è disabilitato o non installato” oppure “Il browser (…) non supporta i plugin NPAPI“.
Nel caso in cui si avesse la necessità di usare Java in locale, suggeriamo di accedere alla configurazione della piattaforma da Pannello di controllo, cliccare sulla scheda Sicurezza quindi togliere il segno di spunta dalla casella Abilitare il contenuto Java nel browser.
Oracle dovrebbe comunque, a breve, rimuovere da Java SE il plugin per i browser: Plugin Java per il browser, Oracle lo abbandonerà a breve.
Maggiori informazioni sono disponibili nell’analisi di Oracle oppure in questa pagina sul sito di riferimento del CERT italiano.