15730 Letture

Sistemata la falla presente in Java: ecco l'aggiornamento

Nei giorni scorsi avevamo dato notizia della scoperta di una grave vulnerabilità nel pacchetto "Java Runtime Environment" (JRE), ampiamente installato sui sistemi Windows. La falla era stata individuata da Tavis Ormandy ed è stata subito bollata, da molte aziende attive nel campo della sicurezza, come "estremamente critica". Il componente affetto dal problema è il "Java Deployment Toolkit" (JDT), incluso come parte del pacchetto Java a partire dalla versione 6.0 "update 10".

La vulnerabilità potrebbe aprire le porte ad attacchi di tipo "drive-by download": sfruttandola, gli aggressori potrebbero così causare il prelievo automatico e l'installazione di malware semplicemente spronando l'utente a visitare una pagina web "maligna", preparata allo scopo. Gli esperti di G DATA hanno dichiarato, nelle scorse ore, di attendersi "una gran mole di attacchi mirata su tutti i computer con sistema operativo Windows".


Il problema è piuttosto serio perché la lacuna di sicurezza è sfruttabile su qualunque sistema Windows e, per questa specifica minaccia, né Windows Vista né Windows 7 sembrano poter nulla. Dopo l'allerta di Ormandy, infatti, un altro ricercatore - Rubén Santamarta - ha reso pubbliche alcune informazioni sulla metodologia per caricare una DLL arbitraria da remoto sul sistema dell'utente-vittima. Secondo Santamarta, sarebbe possibile bypassare le misure di sicurezza DEP e ASLR del sistema operativo dal momento che la libreria viene caricata direttamente in memoria, nel processo del "Web Start Launcher" di Java.

Nella precedente notizia avevamo presentato alcune metodologie per mettersi al riparo scongiurando qualunque pericolo.

La buona notizia è che Oracle ha appena provveduto a rilasciare il pacchetto Java Runtime Environment 1.6.0_20 risolvendo la vulnerabilità messa a nudo da Ormandy. Il software è prelevabile da questa pagina cliccando su "Download JRE". Contemporaneamente, è stato messo a disposizione anche lo strumento per sviluppatori JDK.

  1. Avatar
    dante5351
    20/04/2010 08:59:53
    Ho risolto cancellando tutta l'installazione di java con Windows Install Clean Up, poi ho lanciato l'aggiornamento che ha reinstallato java 6update 20
  2. Avatar
    dante 5351
    19/04/2010 23:42:59
    Quando lancio l'aggiornamento mi da l'errore: impossibile rimuovere la versione precedente di Java(TM)6 Update 20. Infatti nella cartella di Documents & settings dove dovrebbe essere il file .msi della v19 non c'e' niente. Che posso fare?
  3. Avatar
    sigare1
    17/04/2010 14:03:23
    grazie
  4. Avatar
    Michele Nasi
    16/04/2010 09:30:25
    L'aggiornamento consente di portare Java all'ultima versione risolvendo i problemi su tutti i browser web.
  5. Avatar
    sigare1
    15/04/2010 21:10:13
    volevo chedere se patch vale anche per firefox
Sistemata la falla presente in Java: ecco l'aggiornamento - IlSoftware.it