Oracle chiude la falla con Java 7 Update 11

Con un giorno di anticipo rispetto al previsto, Oracle ha rilasciato Java 7 Update 11. La nuova versione del plugin risolve la vulnerabilità, scoperta il 10 gennaio dal Computer Emergency Readiness Team (CERT) del Department of Homeland Security degli Stati Uniti. La patch include anche una modifica al livello di sicurezza di Java che impedisce l’esecuzione automatica delle applet e delle applicazioni non firmate senza l’autorizzazione dell’utente.

La versione 10 e precedenti di Java 7 conteneva una vulnerabilità che poteva essere sfruttata per eseguire codice remoto nel caso in cui l’utente avesse visitato un sito creato ad hoc. I kit già diffusi in Rete potevano avvalersi dell’exploit per bloccare il computer e chiedere un riscatto, utilizzando una tecnica nota come ransomware.

Probabilmente la falla zero-day non avrebbe avuto nessun effetto se Oracle avesse chiuso un bug scoperto ad agosto 2012 nell’implementazione delle Reflection API. La patch rilasciata ad ottobre 2012 ha risolto la falla solo in modo parziale.

Per garantire la sicurezza degli utenti, Mozilla ha subito inserito Java 7 Update 10 nella blocklist di Firefox. Lo stesso ha fatto Apple con il suo sistema di protezione antimalware. Java 7 Update 11 dovrebbe ora garantire maggiore sicurezza, anche se il CERT consiglia di utilizzare il plugin solo se assolutamente necessario.

Con questa nuova versione, Oracle ha cambiato il Java Security Level predefinito da Medium a High. Ora l’utente riceverà sempre un avviso quando il browser tenta di eseguire una applet o un’applicazione prive di firma. Il livello di sicurezza può essere verificato o modificato attraverso uno slider presente nella scheda Sicurezza del Java Control Panel.