Video: How to install Java 6/7/8 in Ubuntu Linux (Settembre 2024)
Oracle ha rilasciato un altro aggiornamento di emergenza per Java. Questo è il terzo aggiornamento di emergenza che la società ha rilasciato nel 2013 per risolvere i problemi di sicurezza in Java che erano già stati utilizzati negli attacchi.
Gli ultimi aggiornamenti, Java 7 aggiornamento 17 e Java 6 aggiornamento 43, hanno affrontato CVE-2013-1493 e una relativa vulnerabilità (CVE-2013-0809), ha affermato Oracle nel suo avviso di sicurezza rilasciato lunedì. Entrambe le vulnerabilità riguardano il componente 2D di Java SE, che gestisce la grafica di runtime e il modo in cui le immagini vengono visualizzate, secondo un post sul blog di Eric Maurice, direttore della sicurezza del software Oracle.
Tutti gli utenti Java dovrebbero aggiornare immediatamente alle ultime versioni, ha affermato la società.
"Queste vulnerabilità possono essere sfruttabili in remoto senza autenticazione, ovvero possono essere sfruttate su una rete senza la necessità di un nome utente e una password", ha scritto Oracle.
Gli aggressori possono indurre gli utenti ignari a visitare una pagina Web dannosa che ospita codice che innesca quei difetti di sicurezza, ha affermato Oracle. I ricercatori hanno scoperto attacchi in natura che infettano i computer degli utenti con il Trojan di accesso remoto McRAT. McRAT contatta i server di comando e controllo e si copia nei processi del sistema operativo Windows.
Gli exploit, in caso di successo, "possono influire sulla disponibilità, integrità e riservatezza del sistema dell'utente", ha scritto Oracle.
Molti aggiornamenti, disabilita se puoi
Oracle ha aggiornato Java a metà gennaio e di nuovo all'inizio di febbraio con aggiornamenti di emergenza dopo che sono emerse segnalazioni nel corso del Natale di una serie di attacchi in stile water-hole che colpiscono vari siti. La società ha lanciato un aggiornamento programmato per risolvere 50 bug il 19 febbraio. Questi due bug sono stati segnalati a Oracle il 1 febbraio, ma Maurice non ha potuto essere incluso nell'aggiornamento del 19 febbraio.
Considerando che il prossimo aggiornamento Java programmato è stato in aprile, la società ha deciso di rilasciare una patch fuori banda perché il difetto veniva attivamente utilizzato negli attacchi.
"Per aiutare a mantenere la posizione di sicurezza di tutti gli utenti di Java SE, Oracle ha deciso di rilasciare una correzione per questa vulnerabilità e un altro bug strettamente correlato al più presto", ha scritto Maurice.
Maurice ha assicurato agli utenti che i problemi sono presenti solo nelle applicazioni Java in esecuzione nei browser Web e non si applicano a Java in esecuzione su server, applicazioni desktop Java standalone o applicazioni Java incorporate o software basato su server Oracle. Molti esperti di sicurezza e il CERT (Emergency Response Team) del Dipartimento di Sicurezza Nazionale consigliano agli utenti di disabilitare il plug-in Java nei loro browser se non lo usano regolarmente.
Se l'utente ha bisogno di Java, che copre la stragrande maggioranza degli utenti aziendali e dell'istruzione, vale la pena tenere un browser separato con il plug-in Java installato e utilizzare quel browser per accedere solo a quei siti.
"È bello vedere Oracle che risponde più rapidamente alle vulnerabilità critiche, ma è un po 'più che passato per loro fare un tuffo più profondo sui problemi di sicurezza di Java", ha detto a SecurityWatch Lamar Bailey, direttore della ricerca e sviluppo della sicurezza di nCircle. "Spero che Oracle abbia già assegnato a un team dei loro migliori ingegneri della sicurezza la possibilità di eliminare proattivamente tutti i rimanenti problemi di sicurezza di Java, ma fino ad allora gli utenti aggiorneranno Java tutte le volte che aggiorneranno le firme AV", ha affermato.
Java 6 è entrato alla fine del suo ciclo di vita questo febbraio, sollevando dubbi sul fatto che Oracle avrebbe lasciato la versione precedente senza patch. Oracle ha patchato Java 6 in questo aggiornamento, che è ancora utilizzato da molti utenti. Non è chiaro come Oracle gestirà le patch per Java 6 nei prossimi mesi.
"Ho sempre pensato che Oracle abbia fatto un buon lavoro nel proteggere i propri prodotti, ma la recente eruzione di vulnerabilità di Java mi sta facendo perdere fiducia", ha detto Bailey, aggiungendo che ora si chiede che tipo di seri problemi di sicurezza si trovano negli altri prodotti Oracle.
Sono stati trovati altri bug Java
In un gioco in corso di gatto e topo, un aggiornamento Java significa che è tempo di rivelare più vulnerabilità. Adam Gowdiak, capo della società di ricerca polacca Security Explorations, ha riscontrato altri cinque problemi con Java 7.
"Cinque nuovi problemi di sicurezza sono stati scoperti in Java SE 7 (numerati da 56 a 60), che se combinati insieme possono essere utilizzati con successo per ottenere un bypass sandbox di sicurezza Java completo nell'ambiente di Java SE 7 aggiornamento 15", Gowdiak ha scritto lunedì sul Mailing list di Bugtraq. Sembra che gli aggressori sarebbero in grado di usare i problemi per rompere alcuni dei controlli di sicurezza che Oracle ha recentemente implementato, ha detto Gowdiak. Tutte e cinque le questioni devono essere utilizzate insieme per l'attacco per avere successo. Gowdiak ha già inviato a Oracle informazioni dettagliate e un codice di prova.
Due dei problemi possono anche riguardare Java 6, ma ciò non è stato confermato.
"Java sta dimostrando di essere il dono che continua a offrire agli aggressori", ha dichiarato Andrew Storms, direttore delle operazioni di sicurezza di nCircle. Ha predetto attacchi più mirati contro le grandi società e entità governative. "Le cattive notizie con Java continuano a peggiorare e non c'è fine in vista", ha detto.
