Nei giorni scorsi avevamo dato notizia della scoperta di una grave vulnerabilità nel pacchetto “Java Runtime Environment” (JRE), ampiamente installato sui sistemi Windows. La falla era stata individuata da Tavis Ormandy ed è stata subito bollata, da molte aziende attive nel campo della sicurezza, come “estremamente critica”. Il componente affetto dal problema è il “Java Deployment Toolkit” (JDT), incluso come parte del pacchetto Java a partire dalla versione 6.0 “update 10”.
La vulnerabilità potrebbe aprire le porte ad attacchi di tipo “drive-by download“: sfruttandola, gli aggressori potrebbero così causare il prelievo automatico e l’installazione di malware semplicemente spronando l’utente a visitare una pagina web “maligna”, preparata allo scopo. Gli esperti di G DATA hanno dichiarato, nelle scorse ore, di attendersi “una gran mole di attacchi mirata su tutti i computer con sistema operativo Windows“.
Il problema è piuttosto serio perché la lacuna di sicurezza è sfruttabile su qualunque sistema Windows e, per questa specifica minaccia, né Windows Vista né Windows 7 sembrano poter nulla. Dopo l’allerta di Ormandy, infatti, un altro ricercatore – Rubén Santamarta – ha reso pubbliche alcune informazioni sulla metodologia per caricare una DLL arbitraria da remoto sul sistema dell’utente-vittima. Secondo Santamarta, sarebbe possibile bypassare le misure di sicurezza DEP e ASLR del sistema operativo dal momento che la libreria viene caricata direttamente in memoria, nel processo del “Web Start Launcher” di Java.
Nella precedente notizia avevamo presentato alcune metodologie per mettersi al riparo scongiurando qualunque pericolo.
La buona notizia è che Oracle ha appena provveduto a rilasciare il pacchetto Java Runtime Environment 1.6.0_20 risolvendo la vulnerabilità messa a nudo da Ormandy. Il software è prelevabile da questa pagina cliccando su “Download JRE“. Contemporaneamente, è stato messo a disposizione anche lo strumento per sviluppatori JDK.