Gli utenti che hanno installato il pacchetto Java sono nuovamente a rischio. Lo stesso esperto che in passato aveva indivuato vulnerabilità di sicurezza, ha scoperta una grave falla che permetterebbe ad un aggressore remoto di sottrarre dati memorizzati sul sistema dell’utente-vittima e di installare applicazioni nocive. La lacuna di sicurezza messa in evidenza da Adam Gowdiak, CEO della società polacca Security Explorations, è particolarmente grave perché può essere sfruttata indipendentemente dalla versione di Java installata sul sistema. Visitando una pagina web contenente una applet malevola, a rischiare un’aggressione sono gli utenti di Java 5, Java 6 e Java 7, indipendentemente dal fatto che essi utilizzino un sistema Windows oppure Mac OS X.
Rispetto alla falla tappata da Oracle a fine agosto scorso (vedere l’articolo Oracle rilascia una patch per Java ad elevata criticità), quella evidenziata da Gowdiak è ancor più critica perché nettamente più ampio è il numero degli utenti potenzialmente bersagliabili.
L’unica buona notizia è che per il momento in Rete non si è ancora diffuso il codice exploit utilizzabile per sferrare gli attacchi nonostante Oracle non abbia ancora rilasciato alcun aggiornamento correttivo. Oracle avrebbe confermato a Gowdiak l’esistenza del problema non pronunciandosi però sulla data di rilascio dell’aggiornamento risoltivo.
Il ricercatore ha poi confermato che il suo exploit “proof-of-concept” funziona con qualunque versione del plugin Java installato nei browser Internet Explorer, Chrome, Firefox, Opera e Safari: Gowdiak ha fatto esplicito riferimento ai sistemi Windows 7 ma è ovvio che lo stesso comportamento è riscontrabile sulle altre versioni di Windows e sui sistemi Mac OS X ove sia stato installato Java.
I consigli da seguire sono sempre gli stessi: è bene disinstallare Java se non lo si utilizza; è caldamente consigliato disabilitare o disinstallare il suo plugin dai browser in uso se il pacchetto Java è impiegato unicamente per eseguire applicazioni in ambito locale; ridurre al minimo il numero di versioni di Java installate sul personal computer mantenendo in uso solo quelle strettamente necessarie ed avendo cura di aggiornarle con tempestività.
Alcuni spunti per approfondire:
– Java è sicuro? Come difendersi dalle minacce più recenti
– Flashback infetta Mac OS X: qualche consiglio per prevenire e “curare”
– Resta pericolosissimo il mancato aggiornamento di Java
– Java: verificare quali versioni sono installate. Come gestirle
– Java non aggiornato? Molto più alti i rischi d’infezione