Una grave vulnerabilità è stata scoperta in Java e la descrizione della stessa sembra configurare una situazione di pericolo estremo ed esteso. Il pericolo è dettato dal fatto che non solo si trovano a rischio tutti gli utenti che hanno in qualche modo a che vedere con la tecnologia Java, ma anche dal fatto che non basta la disabilitazione del plugin per mettere il sistema al sicuro da attacchi esterni.
La scoperta è firmata Tavis Ormandy, ingegnere Google. La sua scoperta è stata immediatamente resa pubblica perchè, spiega Ormandy, «il rilascio di questo documento è nei migliori interessi di chiunque tranne che del vendor». Oracle per ora glissa, spiegando di non ritenere il pericolo ad un livello tale da consigliare il rilascio di una patch al di fuori del ciclo di aggiornamento previsto. Tale approccio è dettato dal fatto che l’exploit, anche se pubblico, non è ancora stato utilizzato in modo pericoloso e massivo, regalando così alla casa madre qualche giorno di tempo per pensare quale possa essere il modo migliore per intervenire in modo esaustivo sul problema.
La documentazione di Ormandy punta il dito contro il framework Java Web Start, le cui mancanze in fase di validazione delle url configurano la situazione di pericolo descritta. Non solo: se nemmeno la disabilitazione del plugin permette di mettere al riparo il sistema da eventuali attacchi, ciò significa che chiunque abbia utilizzato Java in passato sia oggi esposto al rischio senza avere semplici possibilità di protezione.
Symantec descrive la situazione come ad elevato rischio: un eventuale attacco può essere portato avanti tramite lo sviluppo di apposito codice da proporre tramite la visita di un sito web maligno. Risultano pertanto a rischio tanto Explorer quanto Firefox o Chrome (utilizzanti Java Runtime Environment, all’interno del quale è compreso il codice vulnerabile JavaSW): Symantec descrive alcune soluzioni praticabili, ma soltanto un intervento a monte da parte dei tecnici Sun/Oracle potrà realmente mettere il problema alle spalle. Inizialmente si è palesato anche un possibile rischio per l’utenza Linux, ma l’exploit non sembra al momento andare a segno configurando un pericolo reale.
L’exploit permette ad un malintenzionato l’esecuzione di codice Java sulla macchina colpita, bypassando ogni misura di sicurezza per far eseguire al sistema vulnerabile quanto desiderato. Coinvolte dal problema tutte le versioni di Java, compresa l’ultimo Java SE 6 update 19.