Gli esperti: urgente aggiornare Java

Gli esperti: urgente aggiornare Java

Si raccomanda di aggiornare quanto prima Java SE e il Java Runtime Environment (JRE) all'ultima versione, la Java SE 6 Update 2: le precedenti release contengono vulnerabilità piuttosto gravi
Si raccomanda di aggiornare quanto prima Java SE e il Java Runtime Environment (JRE) all'ultima versione, la Java SE 6 Update 2: le precedenti release contengono vulnerabilità piuttosto gravi

All’inizio del mese Sun ha aggiornato in sordina la piattaforma Java SE 6 Update 2, e con essa la celebre e diffusa macchina virtuale Java Runtime Environment utilizzata sia sui client che sui server.

Inizialmente Sun non aveva fornito alcuna informazione sulle falle corrette da questo aggiornamento, ma nell’ultima settimana gli esperti di sicurezza hanno progressivamente rivelato tutti i dettagli, raccomandando agli utenti (soprattutto aziendali) di aggiornare la propria installazione di Java quanto prima.

Tra le debolezze sistemate da Sun una interessa il componente Java Web Start ( javaws.exe ), e può essere innescata aprendo un file Java Network Launching Protocol (JNLP) maligno. Una seconda interessa la gestione dei fogli di stile XSLT nelle firme digitali dei file XML, e potrebbe essere utilizzata da un aggressore per eseguire del codice a sua scelta e prendere il pieno controllo di un server remoto su cui giri Java System Application Server e Web Server. Una terza vulnerabilità interessa il Java Secure Socket Extension (JSSE), ed in certi contesti può essere utilizzata per mandare in crash un server remoto.

In questo advisory di AusCERT vengono descritte altre due vulnerabilità di Java, tra le quali un pericoloso buffer overflow nel componente che in JRE elabora le immagini.

Tutte le vulnerabilità sono state corrette da Sun in Java SE 6 Update 2 , 1.5 Update 12 e 1.4.2 Update 15 . Gli utenti consumer, interessati ad aggiornare la propria macchina virtuale Java, possono semplicemente visitare Java.com .

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
16 lug 2007
Link copiato negli appunti