Oracle rilascia l'ennesima patch per Java SE

Oracle ha annunciato la disponibilità di una nuova versione del plugin per browser che risolve due gravi vulnerabilità, una delle quali è stata già sfruttata dai malintenzionati mediante un exploit che installa il trojan McRat sui computer degli utenti. Entrambe le vulnerabilità sono relative al componente 2D di Java SE. L’azienda raccomanda di aggiornare al più presto il software con Java 7 Update 17. Anche Apple ha distribuito una patch per il suo sistema operativo OS X.

Il prossimo Critical Patch Update per Java SE era inizialmente previsto per il 16 aprile, ma ancora una volta Oracle ha dovuto anticiparne il rilascio, in quanto è già stato realizzato un exploit che sfrutta una delle vulnerabilità zero-day. La scoperta è stata fatta dalla società di sicurezza FireEye e comunicata ad Oracle il 1 febbraio, troppo tardi però per poter includere il fix nell’aggiornamento distribuito lo scorso 19 febbraio.

Le vulnerabilità risolte con Java 7 Update 17 riguardano esclusivamente il plugin usato nei browser e dunque possono essere sfruttate mediante applicazioni Java Web Start e applet Java. Nessun problema invece per le versioni in esecuzione sui server e per le applicazioni desktop standalone.

Nelle ultime ore è giunta notizia di ulteriori 5 vulnerabilità non ancora risolte, scoperte dalla società di sicurezza Security Explorations. Oracle ha comunicato di aver ricevuto il report e di aver iniziato le sue indagini. Considerato il pericolo costante che si corre utilizzando Java SE, è consigliabile evitare l’installazione del plugin, se non strettamente necessario. Eventualmente è possibile attivarlo solo sui siti ritenuti affidabili.