La vulnerabilità di JRE è stata classificata come “altamente critica”. Il rischio è molto elevato e si consiglia l’aggiornamento alla versioni più recenti.
Sun Microsystems, così come le varie aziende attive nel campo della
sicurezza informatica, lanciano l’allerta circa una nuova pericolosa vulnerabilità
scoperta nel Java Runtime Environment (JRE), nello specifico all’interno delle
versioni “5.0 update 9” e precedenti, 1.4.2_12 e precedenti, 1.3.1_18
e precedenti.
La falla, appena messa a nudo, è stata subito marcata
da Secunia come “altamente critica”: il rischio è infatti
elevatissimo dato che, visitando un sito web con una versione “datata”
di JRE, si potrebbe vedere eseguire codice potenzialmente dannoso sul proprio
sistema. Un aggressore potrebbe sfruttare il problema semplicemente creando
un’immagine GIF, confezionata “ad arte”, inserendola per esempio in
una normale pagina web.
Sempre all’interno di Sun JRE e JDK, appena poco meno di un mese fa, erano
state rilevate altre vulnerabilità particolarmente critiche: alcune di
esse possono essere sfruttate da remoto per danneggiare il contenuto del sistema-vittima
oppure per acquisire privilegi più elevati (applet maligne, potrebbero
quindi essere in grado, di leggere e scrivere file sul personal computer dell’utente
od avviare operazioni pericolose).
Tutti gli utenti sono invitati ad aggiornarsi alle versioni più recenti,
esenti da problemi. Sun caldeggia la disinstallazione delle precedenti release
e l’adozione della JRE 5.0 (versione 1.5.0_10; denominata anche “1.5 Update
10”). Le versioni di Sun JRE al momento esenti da vulnerabilità
di sicurezza conosciute, sono comunque le seguenti:
Versione 1.3.1_19
Versione 1.4.2_13
Versione 1.5.0_10 (5.0 Update 10) (15,8 MB circa).
JRE (acronimo di “Java Runtime Environment”) permette al sistema
operativo di eseguire applicazioni sviluppate nel linguaggio Java. Tali software
possono essere distribuiti nella forma “stand alone”, ossia eseguibili
localmente sul personal computer in uso oppure integrati nelle pagine web (si
parla di “applet” Java).
E’ possibile verificare la versione di JRE eventualmente installata ed in
uso sul proprio sistema, collegandosi a questa
pagina. Immediatamente sotto il paragrafo “Test your JVM”, dovrebbero
comparire tutti i dettagli relativi alla JRE installata insieme con un’immagine
animata.
Qualora ciò non dovesse accadere, è possibile che la JRE non
risulti installata sul personal computer oppure che l’esecuzione delle applet
Java venga in qualche modo bloccata (da browser oppure attraverso le funzionalità
messe a disposizione dai più moderni software “personal firewall”
che integrano funzionalità di filtro dei contenuti inseriti nelle pagine
Internet).
