Tante sono le vulnerabilità scoperte nelle più recenti versioni di Java JRE e Java JDK. Tutte le aziende attive nel campo della sicurezza informatica caldeggiano la tempestiva applicazione degli aggiornamenti correttivi che Sun ha da poco messo a disposizione. In caso contrario, è possibile che – navigando sul web – si possano incontrare applet nocive in grado di sfruttare la falle di sicurezza presenti nella versione di Java installata sul proprio personal computer. La mancata installazione delle patch risolutive espone l’utente al rischio di vedere installati ed eseguiti sul sistema dei componenti malware.
Secunia indica le vulnerabilità di più recente scoperta in Java come “altamente critiche”.
Alcune problematiche di sicurezza possono essere sfruttate da parte di aggressori per sferrare attacchi DoS (Denial of Service), per raggirare alcune restrizioni o per danneggiare un sistema vulnerabile.
In particolare, molte delle vulnerabilità sanabili mediante l’installazione delle versioni di Java più aggiornate possono permettere ad un malintenzionato, di leggere, scrivere od eseguire file sul sistema dell’utente. I problemi sono da considerarsi ancora più pericolosi se l’utente, per navigare, è solito impiegare un account dotato di diritti amministrativi.
Java Runtime Environment è un ambiente di esecuzione di programmi applicativi sviluppato da Sun Microsystems. Il pacchetto è comprensivo della Java Virtual Machine (JVM) e delle varie API (Application Programming Interface).
Il pacchetto JDK non è invece necessario per la semplice esecuzione delle applicazioni Java ma è riservato ai soli sviluppatori.
Le versioni appena rilasciate, esenti da vulnerabilità di sicurezza conosciute sono le seguenti:
– JDK and JRE 6 Update 5
– JDK and JRE 5.0 Update 15
– SDK and JRE 1.4.2_17
Tutti gli utenti sono invitati ad aggiornarsi alle versioni più recenti (ved. il sito ufficiale), esenti da problemi. JRE permette al sistema operativo di eseguire applicazioni sviluppate nel linguaggio Java. Tali software possono essere distribuiti nella forma “stand alone”, ossia eseguibili localmente sul personal computer in uso oppure integrati nelle pagine web (si parla di “applet” Java).
E’ possibile verificare la versione di JRE eventualmente installata ed in uso sul proprio sistema, collegandosi con questa pagina. Immediatamente sotto il paragrafo “Test your JVM”, dovrebbero comparire tutti i dettagli relativi alla JRE installata insieme con un’immagine animata.
Qualora ciò non dovesse accadere, è possibile che la JRE non risulti installata sul personal computer oppure che l’esecuzione delle applet Java venga in qualche modo bloccata (da browser oppure attraverso le funzionalità messe a disposizione dai più moderni software “personal firewall” che integrano funzionalità di filtro dei contenuti inseriti nelle pagine Internet).
Java è un linguaggio estremamente potente: se si preferisce evitare del tutto di imbattersi in applet Java potenzialmente nocive, è possibile disattivarne l’esecuzione da browser (in Internet Explorer, menù Strumenti, Opzioni Internet, scheda “Avanzate”, sezione “Java”; in Mozilla Firefox, menù Strumenti, Opzioni, scheda Contenuti, disabilitare la casella Attiva Java) oppure da software firewall. Disattivando le applet, si potranno comunque eseguire applicazioni sviluppate in Java sul personal computer.
Sono infatti un sempre maggior numero le applicazioni che poggiano su Java (soprattutto quelle contabili e gestionali): uno dei vantaggi principali deriva infatti dal fatto che JRE può essere installato su piattaforme completamente diverse (Windows, Linux, Solaris).
Gli utenti che sono costretti ad utilizzare vecchie versioni di JRE per consentire l’esecuzione di applicazioni piuttosto datate (cosa piuttosto comune con alcuni software di tipo fiscale, installati, ad esempio, presso gli studi commercialisti), dovrebbero provvedere a disabilitare l’esecuzione delle applet Java dal browser in uso (Internet Explorer, Firefox,…). Attraverso la finestra di configurazione di Java (Pannello di controllo di Windows), è poi possibile disattivare il caricamento del plug-in da parte dei vari browser.