A breve distanza dalla pubblicazione dei dettagli su una pericolosa vulnerabilità di Java , Oracle ha distribuito una nuova versione della virtual machine mondata del problema. A continuare sono invece le polemiche sulle politiche della società, che avrebbe saputo dell’esistenza della falla già mesi fa.
La nuova versione di JRE (Java Runtime Environment) dovrebbe porre un freno alla proliferazione degli attacchi zero-day comparsi in questi giorni, una situazione che aveva spinto Mozilla e altre società impegnate sul fronte sicurezza a consigliare la disabilitazione permanente di Java per rendere i PC più sicuri.
Oracle comunica che la patch di JRE corregge “tre vulnerabilità distinte ma correlate e un singolo problema di sicurezza strutturale nel pacchetto Java funzionante sui browser desktop”, con gli esperti concordi nell’identificare falle aggiuntive (oltre a quella già abusata dai succitati attacchi 0-day) prese di mira dall’update.
Tutto risolto, dunque? Niente affatto, secondo gli esperti di sicurezza che hanno reso pubblici i dettagli della falla, che accusano Oracle di immobilismo, un immobilismo che ha impedito alla società statunitense di mettere mano al problema anche se ne era a conoscenza dallo scorso aprile.
Alfonso Maruccia