c.m.g
08-10-2007, 09:14
Notizia del 08 Ottobre 2007
Santa Clara (USA) - Gli esperti di sicurezza raccomandano agli utenti di aggiornare la propria versione di Java appena possibile, questo indipendentemente dalla piattaforma utilizzata. L'allarme è stato lanciato in seguito al rilascio, da parte di Sun (http://www.sun.com/), di nuove versioni di Java Runtime Environment (JRE) che correggono 11 gravi vulnerabilità di sicurezza.
Le falle, descritte qui (http://blogs.sun.com/security/), interessano JDK e JRE 6 Update 2 e versioni precedenti, JDK e JRE 5.0 Update 12 e precedenti, SDK e JRE 1.4.2_15 e precedenti, e SDK e JRE 1.3.1_20 e precedenti. I problemi affliggono tutte le piattaforme supportate da Java, incluse Windows, Linux e Mac OS X.
I problemi più gravi possono consentire ad un sito web maligno di guadagnare l'accesso ad una rete locale, bypassando firewall e altri sistemi di sicurezza, e di sottrarre o manipolare dati. Perché ciò avvenga, un utente deve visitare una pagina web contenente una applet dannosa.
"Ciò che rende queste debolezze così gravi è che i tipici software per la sicurezza lato client, come antivirus e antispyware,non riconoscono il codice Java utilizzato per questi exploit come dannoso, neppure con le tecniche euristiche", ha spiegato Tom Kristensen, CTO della società di sicurezza Secunia (http://secunia.com/).
Altri bug sono contenuti in Java Web Start (JWS), ed anch'essi possono essere utilizzati per leggere e scrivere sul PC locale, copiare file o determinare la posizione della cache di JWS: quest'ultimo crack può essere utilizzato per conoscere quali applicazioni Java sono installate sul sistema.
In questo advisory (http://secunia.com/advisories/27009) Secunia ha classificato la pericolosità complessiva delle falle di Java come "highly critical".
Per aggiornare le più recenti versioni di Java è possibile avvalersi della funzione di aggiornamento automatico integrata nel software di Sun, oppure scaricare manualmente gli update da questa pagina (http://www.java.com/it/download/index.jsp). Va detto che la funzione di aggiornamento automatico non sempre funziona come dovrebbe: su di un PC della redazione, ad esempio, quando si scarica l'update e si tenta di installarlo si riceve in risposta un messaggio di errore.
fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2083065)
Santa Clara (USA) - Gli esperti di sicurezza raccomandano agli utenti di aggiornare la propria versione di Java appena possibile, questo indipendentemente dalla piattaforma utilizzata. L'allarme è stato lanciato in seguito al rilascio, da parte di Sun (http://www.sun.com/), di nuove versioni di Java Runtime Environment (JRE) che correggono 11 gravi vulnerabilità di sicurezza.
Le falle, descritte qui (http://blogs.sun.com/security/), interessano JDK e JRE 6 Update 2 e versioni precedenti, JDK e JRE 5.0 Update 12 e precedenti, SDK e JRE 1.4.2_15 e precedenti, e SDK e JRE 1.3.1_20 e precedenti. I problemi affliggono tutte le piattaforme supportate da Java, incluse Windows, Linux e Mac OS X.
I problemi più gravi possono consentire ad un sito web maligno di guadagnare l'accesso ad una rete locale, bypassando firewall e altri sistemi di sicurezza, e di sottrarre o manipolare dati. Perché ciò avvenga, un utente deve visitare una pagina web contenente una applet dannosa.
"Ciò che rende queste debolezze così gravi è che i tipici software per la sicurezza lato client, come antivirus e antispyware,non riconoscono il codice Java utilizzato per questi exploit come dannoso, neppure con le tecniche euristiche", ha spiegato Tom Kristensen, CTO della società di sicurezza Secunia (http://secunia.com/).
Altri bug sono contenuti in Java Web Start (JWS), ed anch'essi possono essere utilizzati per leggere e scrivere sul PC locale, copiare file o determinare la posizione della cache di JWS: quest'ultimo crack può essere utilizzato per conoscere quali applicazioni Java sono installate sul sistema.
In questo advisory (http://secunia.com/advisories/27009) Secunia ha classificato la pericolosità complessiva delle falle di Java come "highly critical".
Per aggiornare le più recenti versioni di Java è possibile avvalersi della funzione di aggiornamento automatico integrata nel software di Sun, oppure scaricare manualmente gli update da questa pagina (http://www.java.com/it/download/index.jsp). Va detto che la funzione di aggiornamento automatico non sempre funziona come dovrebbe: su di un PC della redazione, ad esempio, quando si scarica l'update e si tenta di installarlo si riceve in risposta un messaggio di errore.
fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2083065)