È stata scoperta l’ennesima vulnerabilità di Java, questa volta nell’ultima versione 1.6 Update 41 e v1.7 Update 15, così riportano ricercatori delle società specializzate in sicurezza FireEye e Kaspersky Lab. Il bug è critico e sembra sia stato già sfruttato per avviare lo scaricamento e l’installazione in remoto di “McRAT” sui computer presi di mira, sfruttando un file JPG ospitato su un sito web giapponese. Stando a quanto riporta FireEye il sistema non funziona adeguatamente: tenta di sorpassare alcune misure di sicurezza in Java sovrascrivendo grandi blocchi di memoria senza però alcune volte riuscire nell’intento e mandando in crash la Java Virtual Machine. Kaspersky nota che l’attacco funziona verso Java 7 Update 15 ma non contro le versioni precedenti.
La vulnerabilità individuata è la terza tipo zero-day (utilizzabile da subito dalla data di scoperta) individuata quest’anno e sta costringendo Oracle a giocare al gatto e al topo, rincorrendo le vulnerabilità a furia di patch. Apple è corsa ai rimedi proteggendo il sistema evidenziando la presenza di versioni non aggiornate e in alcuni casi bloccando automaticamente Java fino a quando non è sta individuata una correzione. Come sempre, quando vengono scoperte queste nuove vulnerabilità è sempre sconsigliata l’esecuzione di applet non di origine sconosciuta. Oracle sta valutando il problema e un update è atteso a breve.
[A cura di Mauro Notarianni]
