Le cronache provenienti dal pianeta Java sono purtroppo spesso un elenco di vulnerabilità e falle di sicurezza. Il fatto è vero soprattutto in quest’ultimo periodo , con la virtual machine di Oracle costantemente al centro dell’attenzione di tutti per via di svariati attacchi di alto profilo contro mezzi di comunicazione, social network e organizzazioni non governative.
Negli ultimi giorni di falle Java ne sono emerse addirittura tre, anche se per una di esse Oracle mette in discussione la classificazione come vulnerabilità. La terza vulnerabilità è in realtà già stata corretta da un recente update del software, nondimeno è al momento impiegata da ignoti cyber-criminali per bypassare la sandbox della virtual machine.
Le due nuove falle sono state individuate dal solito Adam Gowdiak , ricercatore specializzato nella caccia ai bachi di Java che dice di averne testato l’utilizzo su tutte le ultime versioni della virtual machine. Oracle non è però convinta della definizione di “vulnerabilità” in almeno uno dei casi indicati da Gowdiak, e il ricercatore si è impuntato: se Oracle non fa quel che deve entro un paio di settimane, sarà il pubblico a giudicare la pericolosità del baco .
A ingarbugliare una situazione come al solito complicata arriva poi un nuovo rapporto su una falla zero-day, una vulnerabilità atta a colpire gli utenti di browser con installato il plugin Java (Java v1.7 Update 15 e Java v1.6 Update 41) e già attivamente sfruttata “in the wild”.
L’exploit identificato dalla società di sicurezza FireEye prova a scaricare ed eseguire il trojan McRAT, modificando il sistema (nuove DLL, Registro di sistema alterato) così da garantirsi l’esecuzione a ogni riavvio. A mitigare i possibili rischi c’è la scarsa affidabilità dell’exploit dice FireEye, e nella maggior parte dei casi invece di beccarsi un’infezione l’utente sperimenta un crash del browser. Resta sempre valido il consiglio di disinstallare Java dal sistema nel caso in cui la VM non fosse necessaria.
Alfonso Maruccia