C’è una nuova falla nei componenti web della virtual machine Java , e la cosa non farebbe quasi più notizia se non fosse per l’inusuale tempismo di Sun (ora sussidiaria di Oracle) che ha distribuito una patch a distanza di una sola settimana dalla sua individuazione. Il tempismo è altresì giustificato dal fatto che i cyber-criminali avevano già provveduto a sfruttare la vulnerabilità per i loro loschi scopi.
Con l’ update 20 alla versione 6 dell’interprete Java disponibile per il download, il componente Web Start della virtual machine non dovrebbe più essere affetto da un baco nel filtraggio degli URL delle pagine web, a causa del quale un malintenzionato avrebbe potuto passare alcuni parametri all’applicazione e lanciare applet scaricati in locale. Il problema non riguarda solo Windows ma anche Linux, mentre per questa volta Mac OSX pare la scampi.
Inizialmente svelata al pubblico dal ricercatore di Google Tavis Ormandy la settimana scorsa, la falla è stata in seguito individuata “in the wild” dal produttore di software antivirale AVG, che ha scoperto un exploit a opera di criminali operanti su server russi. La vittima in questo caso è il servizio di testi musicali songlyrics.com , compromesso dai cracker in modo da costringere l’utente al download involontario di codice malevolo .
Sun aveva inizialmente deciso di non rilasciare aggiornamenti immediati rimandando un’eventuale pezza all’update Java già programmato in uscita per luglio, ma la scoperta dell’exploit “live” ha spinto la corporation a un cambio di rotta che ha infine portato alla disponibilità del nuovo download per la virtual machine.
Ironia della sorte, pare che la patch fuori programma non sia in grado di bloccare il funzionamento dell’exploit in tutte le occasioni. In attesa di ulteriori indagini sul caso – e di un probabile update dell’update distribuito da Sun – agli utenti non resta che inibire il funzionamento di Java nel browser utilizzato per la navigazione quotidiana.
Alfonso Maruccia