Java, nuova vulnerabilità da 5.000 dollari

Per Oracle il 2013 è iniziato nel peggiore dei modi. Poche ore dopo aver rilasciato la versione 7 Update 11 del plugin Java, una nuova vulnerabilità potrebbe mettere a rischio la sicurezza degli utenti. L’esistenza della falla zero-day è stata confermata da un forum frequentato da cybercriminali: un tool che sfrutta il bug è stato acquistato per 5.000 dollari nel cosiddetto mercato underground. Il prezzo include anche il codice sorgente dell’exploit e dunque può essere adattato per eseguire qualsiasi tipo di attacco.

La patch distribuita quattro giorni fa ha risolto una grave vulnerabilità che poteva essere sfruttata per eseguire codice remoto, nel caso in cui l’utente avesse visitato un sito creato ad hoc. Diverse aziende di sicurezza però sostengono che Oracle, per l’ennesima volta, non ha corretto completamente il bug, ma ha fornito solo una soluzione parziale al problema.

L’exploit che circola sul mercato nero è invece relativo ad un’altra falla zero-day non ancora risolta. Anche gli utenti che hanno installato Java 7 Update 11 sono a rischio. Presto verranno aggiornati tutti i kit utilizzati dai malintenzionati per effettuare attacchi verso browser e sistemi operativi, per cui il numero di utenti colpiti crescerà sicuramente.

Secondo Brian Krebs di KrebsOnSecutiry, Oracle è un’azienda che sviluppa prevalentemente software enterprise. Con l’acquisizione di Sun Microsystem nel 2010 ha ereditato Java e dunque milioni di utenti consumer che utilizzano il plugin. Dalla lentezza (e superficialità) con cui vengono rilasciate le patch si deduce che l’azienda non vuole tutti questi clienti. Il consiglio è dunque solo uno: eliminare Java dal computer!