Alfonso Maruccia

Java, patch in arrivo per vulnerabilitÓ critiche

Oracle anticipa il contenuto della sua prossima gragnola di patch per Java, un aggiornamento corposo che chiude decine di falle, molte delle quali pericolose e sfruttabili da remoto

Roma - La distribuzione del nuovo pacchetto di aggiornamento cumulativo per Java è imminente, e nell'attesa Oracle pubblica un annuncio di pre-release con le prime informazioni in merito ai software coinvolti, alla quantità e alla qualità delle falle che questo pacchetto di patch andrà a chiudere.

Il quarto Critical Patch Update (CPU) del 2013 uscirà il 19 giugno, comunica Oracle, e prenderà di mira ben 40 vulnerabilità di sicurezza individuate nelle versioni supportate di Java SE 7, 6, 5 ed FX: la pericolosità dei bachi è alta, avverte la corporation statunitense, e alcuni dei bachi arrivano al massimo livello di allerta sulla scala CVSS 2.0, cioè 10.0.

Non bastasse questo, Oracle avverte che 37 vulnerabilità su 40 si prestano allo sfruttamento da remoto senza autenticazione, vale a dire tramite un network telematico senza necessità di immettere userID o password per portare a segno un cyber-attacco.
Visto il rischio associato alle nuove falle, consiglia Oracle, è opportuno che utenti e amministratori procedano all'aggiornamento immediato dei sistemi una volta che il CPU sarà disponibile per il download.

Per quanto riguarda i dettagli sulle vulnerabilità e i sottosistemi di Java affetti, invece, occorrerà attendere la pubblicazione delle patch e della documentazione di accompagnamento con la descrizione particolareggiata di tutti e 40 i problemi.

Alfonso Maruccia
Notizie collegate
  • SicurezzaJava, nuovi piani per la sicurezzaOracle spiega come migliorerÓ i meccanismi di protezione della virtual machine pi¨ bucata della storia dell'informatica. Si parla di restrizione ai privilegi di esecuzione ma anche dell'eliminazione di librerie non necessarie per i server
24 Commenti alla Notizia Java, patch in arrivo per vulnerabilitÓ critiche
Ordina
  • ...so scrivere un articolo cosìA bocca aperta
    FDG
    10893
  • - Scritto da: FDG
    > ...so scrivere un articolo cosìA bocca aperta
    programmatore giava?A bocca aperta
    non+autenticato
  • - Scritto da: astro

    > - Scritto da: FDG
    > > ...so scrivere un articolo cosìA bocca aperta
    > programmatore giava?A bocca aperta

    No, kopi luwak
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: astro
    >
    > > - Scritto da: FDG
    > > > ...so scrivere un articolo cosìA bocca aperta
    > > programmatore giava?A bocca aperta
    >
    > No, kopi luwak
    Roba "predigerita" come sempre?A bocca aperta
    non+autenticato
  • - Scritto da: FDG
    > ...so scrivere un articolo cosìA bocca aperta

    Mi dispiace per te Triste
    non+autenticato
  • - Scritto da: Risposta al commento

    > - Scritto da: FDG
    > > ...so scrivere un articolo cosìA bocca aperta
    >
    > Mi dispiace per te Triste

    Ero ironico.
    FDG
    10893
  • Veramente molto bello questo Java, complimenti ai javisti che lo hanno scelto, un vero affare!
    non+autenticato
  • - Scritto da: vecchio saggio
    > Veramente molto bello questo Java, complimenti ai
    > javisti che lo hanno scelto, un vero
    > affare!
    Garantisce vulnerabilità multipiattaforma, il che non è da sottovalutare
    non+autenticato
  • - Scritto da: zaza
    > - Scritto da: vecchio saggio
    > > Veramente molto bello questo Java,
    > complimenti
    > ai
    > > javisti che lo hanno scelto, un vero
    > > affare!
    > Garantisce vulnerabilità multipiattaforma, il che
    > non è da
    > sottovalutare

    Ti sei scordato che raddoppia i costi di sviluppo.... però figo, è utilizzato anche dall'ascensore del mio centro commericale, che culo!
    non+autenticato
  • - Scritto da: Francesco
    > Ti sei scordato che raddoppia i costi di
    > sviluppo.... però figo, è utilizzato anche
    > dall'ascensore del mio centro commericale, che
    > culo!
    Bisognerà dare un po' di lavoro ai tecnici per l'assistenza degli ascensori
    non+autenticato
  • - Scritto da: Francesco
    > - Scritto da: zaza
    > > - Scritto da: vecchio saggio
    > > > Veramente molto bello questo Java,
    > > complimenti
    > > ai
    > > > javisti che lo hanno scelto, un vero
    > > > affare!
    > > Garantisce vulnerabilità multipiattaforma, il
    > che
    > > non è da
    > > sottovalutare
    >
    > Ti sei scordato che raddoppia i costi di
    > sviluppo.... però figo, è utilizzato anche
    > dall'ascensore del mio centro commericale, che
    > culo!
    Assicurati che la vulnerabilità non sia nel pavimentoA bocca aperta
    non+autenticato
  • - Scritto da: vecchio saggio
    > Veramente molto bello questo Java, complimenti ai
    > javisti che lo hanno scelto, un vero
    > affare!
    Garantisce vulnerabilità multipiattaforma, il che non è da sottovalutare
    non+autenticato
  • Oltre alla saggezza ti servirebbe un po piú di preparazione tecnica.
    1) Il 99% del codice Java gira sul backend. La maggior parte delle vulnerabilitá sono nel plugin per il browser, quindi non sono questo grosso problema.

    2) La Java VM é complessa quanto un intero sistema operativo. E' naturale che ci siano dei bug. Ma se ti sviluppassi tutto da zero in C++ o altri linguaggi per avere le stesse funzionalitá che ti danno tutti i fameworks che ci sono nel mondo Java di bug ne avresti molti, ma molti di piú.

    3) Per le interfacce web HTML5 é recente. Le uniche alternative alle applet prima erano Flex e Silverlight che di vulnerabilitá ne hanno collezionate molte di piú (per non parlare degli orridi controlli ActiveX).
    non+autenticato
  • - Scritto da: qualcuno
    > Oltre alla saggezza ti servirebbe un po piú
    > di preparazione
    > tecnica.
    > 1) Il 99% del codice Java gira sul backend. La
    > maggior parte delle vulnerabilitá sono nel
    > plugin per il browser, quindi non sono questo
    > grosso
    > problema.

    Che fortunaA bocca aperta

    >
    > 2) La Java VM é complessa quanto un intero
    > sistema operativo. E' naturale che ci siano dei
    > bug. Ma se ti sviluppassi tutto da zero in C++ o
    > altri linguaggi per avere le stesse
    > funzionalitá che ti danno tutti i fameworks
    > che ci sono nel mondo Java di bug ne avresti
    > molti, ma molti di
    > piú.

    Quindi accontentiamoci di questo fantastico linguaggioA bocca aperta
    non+autenticato
  • > Quindi accontentiamoci di questo fantastico
    > linguaggio
    >A bocca aperta

    Ok, dato che non ti piace potresti creare un linguaggio per rimpiazzare tutto il middleware esistente (ad esempio il middleware fra i processi "core business" bancari scritti in linguaggi LISP e la bella applicazione sul tuo telefono), faresti un sacco di soldi...
    non+autenticato
  • - Scritto da: ogekury
    > > Quindi accontentiamoci di questo fantastico
    > > linguaggio
    > >A bocca aperta
    >
    > Ok, dato che non ti piace potresti creare un
    > linguaggio per rimpiazzare tutto il middleware
    > esistente (ad esempio il middleware fra i
    > processi "core business" bancari scritti in
    > linguaggi LISP

    Non erano scritti in cobol?

    > e la bella applicazione sul tuo
    > telefono), faresti un sacco di
    > soldi...

    Quale l'iphone?A bocca aperta
    non+autenticato
  • - Scritto da: astro
    > - Scritto da: ogekury
    > > > Quindi accontentiamoci di questo
    > fantastico
    > > > linguaggio
    > > >A bocca aperta
    > >
    > > Ok, dato che non ti piace potresti creare un
    > > linguaggio per rimpiazzare tutto il
    > middleware
    > > esistente (ad esempio il middleware fra i
    > > processi "core business" bancari scritti in
    > > linguaggi LISP
    >
    > Non erano scritti in cobol?

    in cobol sono scritti i programmi sui sistemi centrali. Il resto (servizi, webapp, ...) è java.
    non+autenticato