Santa Clara (USA) – Gli esperti di sicurezza raccomandano agli utenti di aggiornare la propria versione di Java appena possibile, questo indipendentemente dalla piattaforma utilizzata. L’allarme è stato lanciato in seguito al rilascio, da parte di Sun , di nuove versioni di Java Runtime Environment (JRE) che correggono 11 gravi vulnerabilità di sicurezza.
Le falle, descritte qui , interessano JDK e JRE 6 Update 2 e versioni precedenti, JDK e JRE 5.0 Update 12 e precedenti, SDK e JRE 1.4.2_15 e precedenti, e SDK e JRE 1.3.1_20 e precedenti. I problemi affliggono tutte le piattaforme supportate da Java , incluse Windows, Linux e Mac OS X.
I problemi più gravi possono consentire ad un sito web maligno di guadagnare l’accesso ad una rete locale , bypassando firewall e altri sistemi di sicurezza, e di sottrarre o manipolare dati. Perché ciò avvenga, un utente deve visitare una pagina web contenente una applet dannosa.
“Ciò che rende queste debolezze così gravi è che i tipici software per la sicurezza lato client, come antivirus e antispyware, non riconoscono il codice Java utilizzato per questi exploit come dannoso , neppure con le tecniche euristiche”, ha spiegato Tom Kristensen, CTO della società di sicurezza Secunia .
Altri bug sono contenuti in Java Web Start (JWS), ed anch’essi possono essere utilizzati per leggere e scrivere sul PC locale, copiare file o determinare la posizione della cache di JWS: quest’ultimo crack può essere utilizzato per conoscere quali applicazioni Java sono installate sul sistema.
In questo advisory Secunia ha classificato la pericolosità complessiva delle falle di Java come “highly critical”.
Per aggiornare le più recenti versioni di Java è possibile avvalersi della funzione di aggiornamento automatico integrata nel software di Sun, oppure scaricare manualmente gli update da questa pagina . Va detto che la funzione di aggiornamento automatico non sempre funziona come dovrebbe: su di un PC della redazione, ad esempio, quando si scarica l’update e si tenta di installarlo si riceve in risposta un messaggio di errore.