La virtual machine più attaccabile del momento è ora un po’ più sicura: Oracle ha distribuito il nuovo aggiornamento cumulativo di Java (Critical Patch Update o CPU), rilasciando l’update in anticipo sui tempi già previsti e chiudendo (augurabilmente) un gran numero di vulnerabilità gravi.
L’update è stato distribuito come Java 7 Update 13 e Java 6 Update 39 , e in quest’ultimo caso coincide con il “fine vita” della versione meno recente della virtual machine: ben cinquanta le vulnerabilità corrette, 49 riguardanti una potenziale esecuzione di codice malevolo da remoto e 26 (più del 50 per cento) classificate con il massimo del valore (10) di CVSS ( Common Vulnerability Scoring System ).
Oracle spiega di aver distribuito l’aggiornamento un paio di settimane in anticipo sulla data impostata in precedenza, così da “accelerare la distribuzione di fix per Java”, incrementare la sicurezza del runtime Java (Java Runtime Environment o JRE) sui browser per computer e soprattutto per chiudere una falla zero day già attivamente sfruttata online dai cyber-criminali.
La nuova revisione di Java è disponibile per sistemi Windows, Linux, Solaris e Mac OS X: in quest’ultimo caso l’update segue a breve distanza il blocco di Java “da remoto” deciso da Apple , fatto che col senno di poi evidenzia come Cupertino fosse già a conoscenza dell’arrivo di un aggiornamento.
Per quanto riguarda le garanzie di sicurezza e la reputazione di Java presso gli esperti di settore, infine, le cose non cambiamo granché: la virtual machine di Oracle resta il principale indiziato per una buona parte dei problemi informatici dei sistemi interconnessi, e persino la disponibilità di un update potrebbe fornire ai cyber-criminali l’occasione giusta per imbastire una campagna di aggiornamenti fasulla con installazione di software malevolo.
Alfonso Maruccia