Patch di emergenza per Java e Internet Explorer
Tanto tuonò che piovvero patch: messa alle strette da un allarme andato oltre il livello di guardia, Oracle si è trovata costretta a rilasciare un nuovo aggiornamento per la virtual machine Java (ex-Sun) al di fuori dei suoi tradizionali “cicli” di update del software. Stessa cosa capitata a Microsoft per IE, anche se in questo caso il problema era meno esteso.
La nuova release di Java risolve un paio di vulnerabilità recentemente venute alla ribalta, conferma Oracle, compresa la falla zero day scoperta pochi giorni or sono e distribuita dai gruppi di cyber-criminali come modulo all’interno dei pacchetti di “crimeware” più popolari.
L’update dovrebbe inibire l’esecuzione di codice malevolo da remoto, dice ancora Oracle, e per l’occasione la società ha deciso di modificare le impostazioni di sicurezza della VM così da rendere più difficile l’esecuzione di pacchetti .jar (il formato di distribuzione di applet Java sul web) non autorizzati.
Tutto risolto, dunque? Gli esperti di sicurezza non la mandano a dire e spargono ogni sorta di dubbio sull’efficacia delle contromisure di Oracle: anche se una vulnerabilità è stata risolta, Java continua a rappresentare un pericolo concreto al punto che ci vorrebbero due anni di fix e aggiornamenti per mettere al riparo il software dai bachi sin noti – e senza considerare quelli eventualmente individuati nel prossimo futuro.
A questo punto Oracle dovrebbe ammettere il fatto che Java è “un casino” e dovrebbe mettersi a riscrivere “da zero” i componenti principali della VM, suggeriscono ancora gli esperti di sicurezza, e la disponibilità a rilasciare un aggiornamento fuori ciclo non è certamente abbastanza per affrontare il problema in maniera efficace.
E mentre Oracle viene presa ancora di mira per i gravi problemi di sicurezza del suo popolarissimo runtime Java, Microsoft provvede a chiudere un’altra falla zero day nel suo browser web: la patch – la cui distribuzione è prevista per oggi – arriva a breve distanza dall’ultimo Patch Tuesday e rinforza le difese del numero “limitato” di utenti colpiti dal problema che ancora usano una versione di Internet Explorer precedente alla 9.
