Video: Fix Application blocked by Java Security (Settembre 2024)
A giugno, ti abbiamo parlato di come Oracle si è impegnata a fare meglio con Java e ad aggiornare la piattaforma più frequentemente. Questa è stata la pietra miliare di una serie di episodi imbarazzanti in cui Java veniva usato più volte per attaccare gli utenti. Questa settimana, Oracle ha rilasciato il primo di una nuova serie di aggiornamenti per Java, che sperano renderà i tre miliardi di dispositivi che eseguono il loro prodotto più sicuri. Potrebbe essere vero, ma l'aggiornamento è terribilmente grande con implicazioni altrettanto terrificanti.
Patch più veloce
In precedenza, Java veniva aggiornato tre volte all'anno, ma a partire da questa settimana verrà aggiornato trimestralmente insieme al resto dei prodotti Oracle come parte del loro aggiornamento di patch critico o CPU (vedo cosa hai fatto lì, Oracle).
Nel complesso, l'aggiornamento include 127 correzioni di sicurezza. Di questi, 51 sono per Java e - ecco la parte spaventosa - 50 di quelle vulnerabilità possono, secondo le parole di Oracle, "essere sfruttabili a distanza senza autenticazione".
Ma oh, migliora. Sul blog Qualys, il CTO Wolfgang Kandek scrive "12 vulnerabilità con il punteggio CVSSv2 più alto di 10, indicando che queste vulnerabilità possono essere utilizzate per assumere il controllo completo della macchina attaccata sulla rete senza richiedere l'autenticazione". Continua sottolineando che la maggior parte degli aggiornamenti interessa gli utenti di laptop e desktop (ad es. Tu, leggendo questo, proprio ora), ma ci sono due aggiornamenti altamente critici relativi alle installazioni del server.
È ora di aggiornare!
La maggior parte degli utenti riceverà probabilmente aggiornamenti automaticamente ma, per essere sicuro, Oracle ha fornito una pagina utile per testare quale versione stai utilizzando. Se rileva un'installazione non aggiornata, ti chiederà di scaricare e installare l'aggiornamento. Si noti che la versione più recente di questa settimana è l'aggiornamento Java 7 45.
Prenderò un secondo veloce per ricordare agli utenti di stare molto attenti durante l'aggiornamento manuale di Java perché tenterà di convincerti ad installare la barra degli strumenti Ask.com e cambiare il tuo motore di ricerca predefinito in Chiedi.
Troppo piccolo?
Mentre è bello vedere Oracle intensificare il loro gioco di sicurezza, non tutti hanno predetto la mossa di Oracle. Il consulente per la sicurezza senior di Sophos, Chester Wisniewski, ha scritto sul blog della sua azienda che sembra troppo tardi. "Se la tua reputazione è così scarsa e esponi più di un miliardo di utenti ai tuoi difetti, devi rispondere più rapidamente."
Wisniewski ha continuato a insinuare che le priorità di Oracle erano disallineate e ha avuto l'audacia di attaccare la barca a marchio Oracle di Larry Ellison che ha recentemente vinto l'America's Cup. "Metti il premio sullo scaffale nella tua hall, vendi la barca da dieci milioni di dollari e assumi gli ingegneri necessari per aggiornare il ciclo di patch Java a mensilmente con i soldi di riserva", ha scritto Wisniewski. "3+ miliardi di dispositivi ti ringrazieranno."
L'aggiornamento dell'installazione Java è il modo migliore per proteggerti dagli attacchi basati su Java, che sono inseriti in molti kit di exploit e spesso utilizzati dagli aggressori. Ovviamente puoi sempre staccare la spina e disabilitare del tutto Java.
