Java, Oracle risolve 50 vulnerabilità

Oracle anticipa la distribuzione delle patch, prevista inizialmente il 19 febbraio, e rilascia un aggiornamento per Java SE che chiude 50 vulnerabilità, inclusa quella individuata lo scorso mese e risolta solo parzialmente con l’update del 13 gennaio. È probabile che la nuova versione del plugin, Java 7 Update 13, offra una adeguata protezione anche contro le altre falle scoperte dopo la pubblicazione di Java 7 Update 11.

Oracle sottolinea che il Critical Patch Update per Java SE è stato rilasciato in anticipo, in quanto circolano exploit che sfruttano una delle vulnerabilità del Java Runtime Environment (JRE) presente nei browser desktop. La popolarità di JRE, e il fatto che Java è indipendente dal sistema operativo, rende il plugin un bersaglio attraente per gli hacker.

L’aggiornamento include fix per 50 vulnerabilità di sicurezza, 44 delle quali riguardano il client Java per browser. I malintenzionati possono sfruttare queste falle per eseguire codice remoto sui desktop attraverso le applet Java e le applicazioni Java Web Start. Una delle vulnerabilità risolte è relativa al processo di installazione del Java Runtime Environment. Altre 3 vulnerabilità riguardano il client e i componenti server di Java; infine, le ultime 2 falle riguardano le Java Secure Socket Extension (JSSE).

Per ridurre il rischio di infezioni, Oracle ha incrementato il livello di sicurezza di Java. Il livello predefinito è Alto, per cui l’utente deve autorizzare esplicitamente l’esecuzione di applet Java non firmate all’interno del browser. Java 7 Update 13 può essere scaricato dal sito Java.com. Prima dell’installazione è consigliabile rimuovere le versioni precedenti.