L’ultima novità riguardante Java è, piuttosto prevedibilmente, la scoperta dell’esistenza dell’ennesima falla all’interno della virtual machine di Oracle (ex-Sun), una falla 0-day che è stata messa in vendita sui forum privati e che è probabilmente già in uso da parte di ignoti hacker e cyber-criminali.
Dunque Java è bucato, ancora, e a breve distanza dall’ennesima “patch di emergenza <a href="nuova falla 0-day<a href="per una somma a cinque cifre /java-la-falla-a-cinque-cifre/” target=”_blank”>http://www.geek.com/articles/news/yet-another-java-exploit-already-being-sold-for-5000-20130116/” target=”_blank”>/patch-di-emergenza-per-java-e-internet-explorer/]] rilasciata da Oracle per porre freno a un problema potenzialmente in grado di mettere a rischio i computer di centinaia di milioni di utenti in tutto il mondo.
L’esistenza della (con tanto di exploit) è stata resa nota dal solito Brian Krebs, che già a novembre aveva intercettato un’altra offerta di exploit venduto . L’ultima vulnerabilità viene invece venduta per appena 5.000 dollari, con il “venditore” che accetta due acquirenti diversi e dice di averla sin qui ceduta (sempre a pagamento) solo una volta a un altro smanettone.
La falla è sfruttabile anche sull’ultima versione di Java rilasciata da Oracle solo qualche giorno fa, e il venditore rassicura sul fatto che essa non fa (ancora) parte di alcun “crimeware” o collezione di exploit liberamente utilizzabili da chiunque sia disposto a pagare per averli.
Questo ennesimo caso di “business underground” solleva ancora una volta interrogativi sulle intenzioni e le capacità di Oracle di gestire l’enorme parco utenti che ha un interprete Java installato (spesso inutilmente) sul proprio computer. “Oracle sembra stia mandando il messaggio che non vuole avere centinaia di milioni di utenti consumer”, Krebs, e “questi utenti dovrebbero ascoltare e rispondere a tono” eliminando ogni traccia di Java dal PC.
Alfonso Maruccia