lho aggiornato ma da lo stesso problema
il plug-in presenta problemi di vulnerabilità di sicurezza
NEWS
java-7
Java, vulnerabilità senza fine. Gli esperti consigliano anche di disabilitare JRE
Segnalata solo tre giorni fa l’ultima versione Java Runtime Environment è affetta da una vulnerabilità Zero Day. Gli esperti di sicurezza invitano a disabilitare il plugin Java e il software dai browser. Le minacce si susseguono senza fine, Oracle ha pronto il fix
Il 14 gennaio 2013 di Mario De Ascentiis 0
Gli esperti di sicurezza sono arrivati a consigliare di disabilitare il plug-in e il software dai propri sistemi. Sotto accusa ancora una volta una vulnerabilità Java (Java 7) e a rischio circa 800 milioni di sistemi, su oltre 3 miliardi di device che fanno girare Java. La tipologia di vulnerabilità sotto la lente in questi giorni era già emersa a dicembre e l’aspetto singolare è che la versione JRE colpita è in pratica solo l’ultima Java, non le versioni precedenti.
La vulnerabilità, secondo Jaime Blasco, manager dei labs AlienVault, lavora lasciando ‘sfuggire’ una porzione di codice dalla sandbox e questo rende la minaccia ancora più pericolosa, non trattandosi di un exploit a livello della memoria, ma proprio di una fuoriuscita di codice. Mentre nel caso della vulnerabilità settembrina si parlava di codice in grado di ingannare la sandbox diverso è questo caso. Resta però sotto scacco proprio la zona considerata più sicura, il sistema che dovrebbe rimanere isolato, che però in entrambi i casi viene raggirato e non è detto che per la vera patch, non la messa in sicurezza, ma la soluzione vera e propria del problema, non si debbano attendere mesi.
Non solo per Java, ma Java da questo punto di vista è particolarmente nel mirino, si parla sempre più spesso di vulnerabilità che possono rimanere latenti anche per quasi un anno; non appena vengono scoperte i cyber criminali le aggiungono ai propri kit, che acquisiscono ancora più efficacia. In questo caso anche sulle macchine più aggiornate. Circa il 13 percento degli utenti complessivi di JRE usano Java 7 (up10), questo non vuol dire che gli altri possano dormire sonni tranquilli e nemmeno gli utenti Mac Os X. In questo specifico caso la vulnerabilità è già entrata a far parte dei kit Cool EK, Nuclear Pack, Redkit, Blackhole, and Sakura exploit.
Oracle ha rilasciato una nota per Java 7 update 11 (Java 7u11);la nota riguarda solo Java sui browser e non è applicabile alle applicazioni desktop, e ai server come nemmeno alle apps basate su Java, semplicemente perché non ne sono affetti e in pratica innalza i setting di sicurezza del browser su High, chiedendo quindi all’utente se davvero è certo di voler concedere i permessi alle applets proposte di volta in volta. Le raccomandazioni e la descrizione completa sulla vulnerabilità sono documentate per esteso da Oracle.
Qui trovate la procedura per disabilitare Java nel vostro Browser, operazione consigliata anche dal Department of Homeland Security degli Stati Uniti.
Java, vulnerabilità senza fine. Gli esperti consigliano anche di disabilitare JRE