QR code per la pagina originale

Java, nuova falla mette in ginocchio 3 versioni

Una falla in Java mette a rischio milioni di utenti in tutto il mondo: è presente nelle versioni 5, 6 e 7 e coinvolge ogni sistema operativo.

,

Nuovo pericolo all’orizzonte per gli utenti di tutto il mondo: il team di Security Explorations ha infatti annunciato di aver scoperto una falla in Java particolarmente pericolosa, la quale consentirebbe ad eventuali malintenzionati di ottenere privilegi importanti all’interno di un sistema colpito mediante una semplice applet. A rendere la questione ancora più spinosa è la presenza di tale falla nelle versioni 5, 6 e 7 di Java, distribuite nel corso degli ultimi 8 anni.

La vulnerabilità scoperta dal team, dunque, aprirebbe la strada ad intrusioni dall’esterno attraverso un’applet Java: una volta eseguita, l’aggressore riuscirebbe ad attaccare il processo che ha eseguito l’applet, ovvero il browser utilizzato dall’utente, per ottenere gli stessi privilegi di quest’ultimo. Le conseguenze possono quindi andare dalla semplice visualizzazione dei file personali fino alla loro rimozione, passando attraverso l’installazione di nuovi software.

I test effettuati dal gruppo che si occupa di sicurezza informatica avrebbe inoltre evidenziato come sia possibile realizzare semplici codici in grado di sfruttare la falla: tali exploit si sono rivelati particolarmente efficienti in un sistema Windows 7 a 32 bit, ma il rischio coinvolge sia tutte le altre versioni del sistema operativo di casa Microsoft, sia altre piattaforme per cui Java è disponibile (OS X di Apple, Linux e Solaris). Il problema, insomma, coinvolge a 360 gradi l’universo Java e non sarebbe sufficiente un aggiornamento oppure l’installazione di versioni precedenti per porvi rimedio.

Oracle, società che da diverso tempo cura lo sviluppo di Java, è stata informata di quanto scoperto, con Security Explorations che ha inviato all’azienda anche alcuni esempi di codice in grado di sfruttare la vulnerabilità. A breve dovrebbe giungere dunque la risposta ufficiale della società, cui dovrebbe seguire il rilascio di una versione corretta del software.

Fonte: ArsTechnica