Non c’è pace per Java, via un bug di sicurezza ne arriva un altro. A scoprire una nuova falla, dopo quella che alcuni giorni fa aveva addirittura indotto il dipartimento per la sicurezza interna degli Stati Uniti d’America a emanare un bollettino con il quale si consigliava di “spegnere” Java, sono i ricercatori di Security Explorations, società polacca specializzata in sicurezza informatica.
Il team afferma di aver individuato due nuove vulnerabilità in Java 7 Update 11 con le quali sarebbe possibile bypassare la sandbox del software ed eseguire codice arbitrario sui computer destinatari dell’attacco. Security Explorations conferma di essere riuscita a bypassare la sandbox nonostante Java 7 Update 11 (JRE version 1.7.0_11-b21) sfruttando due nuove vulnerabilità individuate da Adam Gowdiak, uno dei ricercatori della società.
Gowdiak ribadisce che le vulnerabilità individuate da Security Explorations sono diverse da quella che Oracle ha lasciato ancora senza patch in Java 7 Update 11; in più una di queste ultime non ancora riparate da Oracle, potrebbe permettere di aggirare la pezza applicata nei giorni scorsi. Non sembra dunque un caso che vari esperti nel campo della sicurezza informatica, compresi membri del Computer Emergency Readiness Team (squadre finanziate da università ed enti, preposte a rispondere in caso d’incidenti informatici), continuino a consigliare di disabilitare il plug-in Java, anche dopo il rilascio di Java 7 Update 11 e denunciando preoccupazioni che potrebbero derivare da futuri attacchi.
Ricordiamo che in occasione del precedente problema di sicurezza, Apple aveva disabilitato remotamente l’esecuzione di Java su tutti i Mac con le ultime versioni del sistema operativo. Dopo Il semaforo verde acceso in seguito alla riparazione dei due precedenti bug, in questo momento Java sembra ancora essere attivo e non è chiaro se il problema più recente sia riproducibile anche su OS X..
A fronte dei problemi che si susseguono, Gowdiak rincara la dose: «C’è qualcosa di preoccupante nella qualità del codice di Java 7 SE; alla fonte probabilmente la mancanza di un adeguato ciclo, meccanismo di sviluppo o altri problemi interni al team Oracle». In Java 7 Update 11 è stato integrato un meccanismo che chiede conferma all’utente prima di consentire l’esecuzione di applet all’interno del browser: “Un passo nella giusta direzione che potrebbe bloccare alcuni tentativi di attacchi” afferma il ricercatore.
[A cura di Mauro Notarianni]
