Alfonso Maruccia

Patch di emergenza per Java e Internet Explorer

Oracle distribuisce un aggiornamento fuori ciclo per la sua macchina virtuale, e lo stesso fa Microsoft per le versioni meno recenti del browser Internet Explorer

Roma - Tanto tuonò che piovvero patch: messa alle strette da un allarme andato oltre il livello di guardia, Oracle si è trovata costretta a rilasciare un nuovo aggiornamento per la virtual machine Java (ex-Sun) al di fuori dei suoi tradizionali "cicli" di update del software. Stessa cosa capitata a Microsoft per IE, anche se in questo caso il problema era meno esteso.

La nuova release di Java risolve un paio di vulnerabilità recentemente venute alla ribalta, conferma Oracle, compresa la falla zero day scoperta pochi giorni or sono e distribuita dai gruppi di cyber-criminali come modulo all'interno dei pacchetti di "crimeware" più popolari.

L'update dovrebbe inibire l'esecuzione di codice malevolo da remoto, dice ancora Oracle, e per l'occasione la società ha deciso di modificare le impostazioni di sicurezza della VM così da rendere più difficile l'esecuzione di pacchetti .jar (il formato di distribuzione di applet Java sul web) non autorizzati.
Tutto risolto, dunque? Gli esperti di sicurezza non la mandano a dire e spargono ogni sorta di dubbio sull'efficacia delle contromisure di Oracle: anche se una vulnerabilità è stata risolta, Java continua a rappresentare un pericolo concreto al punto che ci vorrebbero due anni di fix e aggiornamenti per mettere al riparo il software dai bachi sin noti - e senza considerare quelli eventualmente individuati nel prossimo futuro.

A questo punto Oracle dovrebbe ammettere il fatto che Java è "un casino" e dovrebbe mettersi a riscrivere "da zero" i componenti principali della VM, suggeriscono ancora gli esperti di sicurezza, e la disponibilità a rilasciare un aggiornamento fuori ciclo non è certamente abbastanza per affrontare il problema in maniera efficace.

E mentre Oracle viene presa ancora di mira per i gravi problemi di sicurezza del suo popolarissimo runtime Java, Microsoft provvede a chiudere un'altra falla zero day nel suo browser web: la patch - la cui distribuzione è prevista per oggi - arriva a breve distanza dall'ultimo Patch Tuesday e rinforza le difese del numero "limitato" di utenti colpiti dal problema che ancora usano una versione di Internet Explorer precedente alla 9.

Alfonso Maruccia
Notizie collegate
  • SicurezzaJava, la falla a cinque cifreUna nuova vulnerabilità di sicurezza presente in Java emerge dall'underground telematico, con lo scopritore che chiede una cifra considerevole per la vendita e tutti i dettagli
  • SicurezzaMicrosoft, un Patch Tuesday senza patch per IERedmond anticipa il contenuto della sua prossima gragnola di patch preparando admin e utenti all'update corrispondente. Resta fuori la falla 0-day di Internet Explorer scoperta di recente
  • SicurezzaJava bucato, Cisco intercettataLa virtual machine di Oracle continua a subire le peggiori attenzioni anche nel 2013. E poi sfortuna vuole che certi telefoni intelligenti si possano trasformare in cimici per le spie
18 Commenti alla Notizia Patch di emergenza per Java e Internet Explorer
Ordina
  • insomma    che dobbiamo fare disinstallarlo?
    non+autenticato
  • - Scritto da: karlina
    > insomma    che dobbiamo fare disinstallarlo?

    SI!
    non+autenticato
  • il 99% della fuffa usata dai nostri enti statali gira su Java, vai dalle aziende a spiegare che devono disinstallare.
    non+autenticato
  • "JDK and JRE 6, 5.0 and 1.4.2, and Java SE Embedded JRE releases are not affected." (http://www.oracle.com/technetwork/topics/security/...)

    Nessun ente/società seria in Italia ha Java 7 installato (anzi in molti hanno ancora la 1.4!!!), questo è FUD bello e buono, dai smettiamola.
    non+autenticato
  • - Scritto da: Peppiacere
    > "JDK and JRE 6, 5.0 and 1.4.2, and Java SE
    > Embedded JRE releases are not affected."
    > (http://www.oracle.com/technetwork/topics/security
    >
    > Nessun ente/società seria in Italia ha Java 7
    > installato (anzi in molti hanno ancora la
    > 1.4!!!), questo è FUD bello e buono, dai
    > smettiamola.
    Quindi tu sei pronto a garantire che le altre versioni siano prive di buchi clamorosi, tipo quelli della 7?
    non+autenticato
  • - Scritto da: Mario Rossi
    > - Scritto da: Peppiacere
    > > "JDK and JRE 6, 5.0 and 1.4.2, and Java SE
    > > Embedded JRE releases are not affected."
    > >
    > (http://www.oracle.com/technetwork/topics/security
    > >
    > > Nessun ente/società seria in Italia ha Java 7
    > > installato (anzi in molti hanno ancora la
    > > 1.4!!!), questo è FUD bello e buono, dai
    > > smettiamola.
    > Quindi tu sei pronto a garantire che le altre
    > versioni siano prive di buchi clamorosi, tipo
    > quelli della
    > 7?
    E quindi ?
    C'e' un motivo se negli ambienti di produzione (sopratutto quelli dove girano soldi veri a palate, cioe' quelli dove si usa pesantemente Java) si usano versioni datate: i problemi che danno, risolti direttamente da Oracle o meno, sono NOTI e facilmente aggirabili/contrastabili.
    Una nuova versione e' terra incognita.....
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: Mario Rossi
    > > - Scritto da: Peppiacere
    > > > "JDK and JRE 6, 5.0 and 1.4.2, and Java
    > SE
    > > > Embedded JRE releases are not affected."
    > > >
    > >
    > (http://www.oracle.com/technetwork/topics/security
    > > >
    > > > Nessun ente/società seria in Italia ha
    > Java
    > 7
    > > > installato (anzi in molti hanno ancora
    > la
    > > > 1.4!!!), questo è FUD bello e buono, dai
    > > > smettiamola.
    > > Quindi tu sei pronto a garantire che le altre
    > > versioni siano prive di buchi clamorosi, tipo
    > > quelli della
    > > 7?
    > E quindi ?
    > C'e' un motivo se negli ambienti di produzione
    > (sopratutto quelli dove girano soldi veri a
    > palate, cioe' quelli dove si usa pesantemente
    > Java) si usano versioni datate
    il braccino corto?A bocca aperta
    non+autenticato
  • - Scritto da: atem
    > - Scritto da: Trollollero
    > > - Scritto da: Mario Rossi
    > > > - Scritto da: Peppiacere
    > > > > "JDK and JRE 6, 5.0 and 1.4.2, and
    > Java
    > > SE
    > > > > Embedded JRE releases are not
    > affected."
    > > > >
    > > >
    > >
    > (http://www.oracle.com/technetwork/topics/security
    > > > >
    > > > > Nessun ente/società seria in
    > Italia
    > ha
    > > Java
    > > 7
    > > > > installato (anzi in molti hanno
    > ancora
    > > la
    > > > > 1.4!!!), questo è FUD bello e
    > buono,
    > dai
    > > > > smettiamola.
    > > > Quindi tu sei pronto a garantire che le
    > altre
    > > > versioni siano prive di buchi
    > clamorosi,
    > tipo
    > > > quelli della
    > > > 7?
    > > E quindi ?
    > > C'e' un motivo se negli ambienti di
    > produzione
    > > (sopratutto quelli dove girano soldi veri a
    > > palate, cioe' quelli dove si usa pesantemente
    > > Java) si usano versioni datate
    > il braccino corto?A bocca aperta
    Magari tagliassero piu' spesso le braccine agli incompetenti manifesti, ci risparmieremmo infinite trollate come questa.....
    non+autenticato
  • - Scritto da: Trollollero

    > > il braccino corto?A bocca aperta
    > Magari tagliassero piu' spesso le braccine agli
    > incompetenti manifesti, ci risparmieremmo
    > infinite trollate come questa.....

    Quoto
    FDG
    10893
  • > > Nessun ente/società seria in Italia ha Java 7
    > > installato (anzi in molti hanno ancora la
    > > 1.4!!!), questo è FUD bello e buono, dai
    > > smettiamola.
    > Quindi tu sei pronto a garantire che le altre
    > versioni siano prive di buchi clamorosi, tipo
    > quelli della
    > 7?

    Sui server si usa Java in locale alla workstation che non è attaccabile da questi problemi.
    Per attaccare una installazione in locale dovresti sfruttare il baco installando del software in locale cosa che non ti è permessa in mille altri modi dagli amministratori del server.

    Non è poi che Java 7 non si usa, è che il software sui server non si cambia ogni 3 mesi, ma a distanza di anni, spesso le soluzioni custom per una azienda costano molti soldi, essendo fatte ad hoc e quindi si cambiano solo quando non reggono più.
    non+autenticato
  • - Scritto da: Mario Rossi

    > Quindi tu sei pronto a garantire che le altre
    > versioni siano prive di buchi clamorosi, tipo
    > quelli della 7?

    Questo vale per qualsiasi software.
    FDG
    10893
  • E certo.
    Se Oracle rilasciasse java come software libero non si sarebbero trovati in questa situazione,dato che avrebbero avuto un supporto pressochè enorme dalla comunità.
  • da http://en.wikipedia.org/wiki/OpenJDK
    >OpenJDK is the official Java SE 7 reference implementation.

    non credo che basti
    non+autenticato
  • - Scritto da: roby6732
    > E certo.
    > Se Oracle rilasciasse java come software libero
    > non si sarebbero trovati in questa
    > situazione,dato che avrebbero avuto un supporto
    > pressochè enorme dalla
    > comunità.

    Guarda, la OpenJDK è alla versione 7.2 e funziona molto bene.
    non+autenticato
  • infatti io come utente linux uso gli open
    non+autenticato