Anno nuovo, nuova vulnerabilità per Java. Il problema è questa volta tanto grave da spingere la stessa Oracle a consigliare all’utenza di disabilitare il plugin (ecco come fare), in attesa di una patch che verrà rilasciata il prossimo martedì, contenente ben 86 correzioni riguardanti la sicurezza.
La questione è stata portata alla luce inizialmente dal Department of Homeland Security (Vulnerability Note VU#625617), con alcuni primi dettagli sui rischi legati alla falla, che a quanto pare sarebbe già stata sfruttata. Secondo Liam Murchu, ricercatore del team Symantec, l’entità del pericolo è tale che in Rete è già possibile reperire kit in grado di avvalersi dell’exploit. Una volta volta penetrato nel sistema della vittima, il malintenzionato può indirizzarne la navigazione verso siti contenente codice maligno, oppure bloccare il computer chiedendo una sorta di riscatto attraverso la tecnica definita “ransomeware”.
L’impiego di un software antivirus aggiornato può ridurre i rischi per chi naviga, ma in attesa dell’update promesso da Oracle il consiglio migliore per mettersi al riparo da qualsiasi pericolo è procedere alla disabilitazione del plugin all’interno del browser. Un accorgimento che Mozilla ha già dichiarato di voler attuare nel proprio software dedicato alla navigazione Firefox, che in futuro costringerà dunque gli utenti ad abilitare il plugin in caso di necessità. Lo stesso ha fatto Apple con i computer della linea Mac (Leopard, Snow Leopard, Lion e Mountain Lion).
Java 7 Update 10 (così come le versioni precedenti) contiene una vulnerabilità che consente attacchi da remoto con l’esecuzione di codice. Al momento non siamo in grado di fornire una soluzione definitiva a questo problema.
Considerata la diffusione di Java il rischio va considerato reale e concreto. Oracle si trova dunque costretta ad affrontare una nuova grana dal punto di vista della sicurezza. Interpellata da alcune testate d’oltreoceano, la società californiana non ha rilasciato ulteriori dichiarazioni sulla vicenda, limitandosi a ribadire l’intenzione di pubblicare un update correttivo il 15 gennaio, che tutti gli utenti sono invitati a scaricare e installare non appena disponibile.