QR code per la pagina originale

Sicurezza Java, di male in peggio

Trend Micro mette in guardia gli utenti sui pericoli che corrono utilizzando Java 6. Per questa versione Oracle non rilascia più update di sicurezza.

,

Il plugin Java è uno dei bersagli preferiti dagli sviluppatori di malware. Nel corso del 2013 Oracle ha dovuto fronteggiare numerosi attacchi, rilasciando (non sempre celermente) numerose patch per le versioni SE 6 e 7. Il produttore di antivirus Trend Micro ha scoperto diversi exploit che sfruttano vulnerabilità zero-day di Java SE 6, notando anche un aumento della complessità dei malware, sempre più difficili da bloccare in tempo. Il problema è ancora più grave se si considera che il supporto alla vecchia versione è stato interrotto a febbraio 2013.

Da circa sette mesi, Oracle non rilascia più update di sicurezza all’utente finale. Solo le aziende che hanno acquistato il supporto o che dispongono di prodotti che richiedono Java 6 riceveranno le patch. In tutto il mondo, ci sono oltre tre miliardi di dispositivi che utilizzano il software dell’azienda californiana e oltre il 50% degli utenti usa ancora Java SE 6. Trend Micro ha notato che negli ultimi tempi è aumentano il numero di attacchi contro questa versione e che molti di questi attacchi hanno come target il Java Native Layer.

Il produttore delle note soluzioni antivirus afferma che i cybercriminali hanno effettuato il reverse engineering delle patch rilasciate per Java SE 7 per individuare il modo in cui sono state corrette le vulnerabilità. Il codice è stato poi sfruttato per colpire Java SE 6, per il quale Oracle non distribuirà nessun update. L’aumento degli attacchi contro il Java Native Layer evidenzia inoltre che i malintenzionati utilizzano tecniche sofisticate per creare malware “a basso livello” più difficili da bloccare e con conseguenze più devastanti.

Trend Micro consiglia quindi di installare l’ultima versione di Java. Se le applicazioni richiedono Java 6, è necessaria una protezione adeguata per ridurre le probabilità di infezione. Se infine Java non è indispensabile, è meglio disattivarlo. Secondo l’azienda, a partire dal mese di maggio 2014, la coppia Java 6-Windows XP potrebbe creare «una tempesta perfetta di sistemi permanentemente vulnerabili».

Fonte: ArsTechnica • Notizie su: