Java non è ancora sicuro: come comportarsi?

Anche l’ultima versione di Java non sarebbe affatto esente da rischi. Ad affermarlo sono i ricercatori di Security Explorations, società polacca specializzata nell’individuazione delle falle di sicurezza presenti nei vari software.
È trascorsa appena una settimana da quando Oracle ha messo a disposizione Java 7 update 11, aggiornamento che avrebbe dovuto risolvere tutte le vulnerabilità scoperte alcuni giorni prima ed attivamente sfruttate da parte dei malintenzionati di tutto il mondo. Secondo Adam Gowdiak, fondatore di Security Explorations, gli interventi apportati dai tecnici di Oracle non sarebbero stati pienamente risolutivi. Anzi, la contestuale presenza di due vulnerabilità irrisolte in Java 7 update 11, rappresenterebbe una vera e propria minaccia per coloro che “navigano” sul web pur utilizzando l’ultima release del software.

I ricercatori di un’altra società, Immunity, avevano fatto notare come Oracle avesse risolto solamente una delle due vulnerabilità precedentemente segnalate. “Qualora venisse scoperta una nuova lacuna, questa potrebbe essere utilizzata in combinazione con la vulnerabilità irrisolta per elaborare un nuovo codice exploit“, si era spiegato da Immunity. Con la sua scoperta, Gowdiak ha confermato quanto ipotizzato dagli esperti della statunitense Immunity.

Mentre Gowdiak esorta Oracle a “portare la ricerca in materia di sicurezza verso un nuovo livello“, il consiglio – per evitare qualunque rischio inutile – è quello di disattivare il plugin Java da tutti i browser web in uso.

Se non si prevede di usare Java durante la navigazione online ma, ad esempio, solamente per eseguire dei gestionali, installati in locale e sviluppati usando questo linguaggio, a partire dalla versione “update 10”, Java 7 offre una pratica funzionalità per procedere alla disattivazione lato web. È sufficiente accedere al Pannello di controllo di Windows, cliccare sull’icona di Java, fare clic sulla scheda Sicurezza quindi disattivare la casella Abilitare il contenuto Java nel browser.

Per difendersi da tutte le minacce che interessano gli utenti di Java, suggeriamo la lettura dell’articolo “Java è sicuro? Come difendersi dalle minacce più recenti“: abbiamo spiegato i rischi derivanti dagli “zero day”, attacchi informatici che hanno inizio “nel giorno zero” ossia dal momento in cui è scoperta una falla di sicurezza in un programma specifico, e abbiamo pubblicato alcune linee guida per verificare se Java è installato e se può eseguire applet dal browser web. Lo stesso articolo contiene i passaggi che possono essere seguiti per disabilitare Java 7.0 sino al rilascio di un aggiornamento risolutivo.