Alcune vulnerabilità, se sfruttate da remoto, possono danneggiare il contenuto del sistema-vittima oppure essere utilizzate da malintenzionati per acquisire privilegi più elevati.
Sun Microsystems, così come le varie aziende attive nel campo della sicurezza
informatica, lanciano l’allerta circa una pericolosa vulnerabilità scoperta nel
Java Runtime Environment (JRE), nello specifico all’interno delle versioni “6.0
Update 1” e precedenti nonché “5.0 update 11” e precedenti.
La falla è
stata definita da Secunia come “altamente critica” (ved. questa pagina): il rischio è infatti elevatissimo dato che, visitando un sito web
con una versione “datata” di JRE, si potrebbe vedere eseguire codice
potenzialmente dannoso sul proprio sistema.
Un aggressore potrebbe
sfruttare il problema semplicemente creando un file JNLP, confezionato “ad
arte”, inserendolo per esempio in una normale pagina web.
Le componenti
Sun JRE e JDK debbono essere mantenute costantemente aggiornate in modo da
scongiurare rischi di esecuzione di codice dannoso in modalità remota. Alcune
vulnerabilità, sanate via a via con il rilascio di appositi aggiornamenti di
sicurezza, se sfruttate da remoto, possono danneggiare il contenuto del
sistema-vittima oppure essere utilizzate da malintenzionati per acquisire
privilegi più elevati (applet maligne, potrebbero quindi essere in grado, di
leggere e scrivere file sul personal computer dell’utente od avviare operazioni
pericolose).
Tutti gli utenti sono invitati ad aggiornarsi alle versioni
più recenti, esenti da problemi.
JRE (acronimo di “Java Runtime
Environment”) permette al sistema operativo di eseguire applicazioni sviluppate
nel linguaggio Java.
Tali software possono essere distribuiti nella
forma “stand alone”, ossia eseguibili localmente sul personal computer in uso
oppure integrati nelle pagine web (si parla di “applet” Java).
E’
possibile verificare la versione di JRE eventualmente installata ed in uso sul
proprio sistema, collegandosi con questa pagina. Immediatamente sotto il
paragrafo “Test your JVM”, dovrebbero comparire tutti i dettagli relativi alla
JRE installata insieme con un’immagine animata.
Qualora ciò non dovesse
accadere, è possibile che la JRE non risulti installata sul personal computer
oppure che l’esecuzione delle applet Java venga in qualche modo bloccata (da
browser oppure attraverso le funzionalità messe a disposizione dai più moderni
software “personal firewall” che integrano funzionalità di filtro dei contenuti
inseriti nelle pagine Internet).
Java è un linguaggio estremamente
potente: se si preferisce evitare del tutto di imbattersi in applet Java
potenzialmente nocive, è possibile disattivarne l’esecuzione da browser (in
Internet Explorer, menù Strumenti, Opzioni Internet, scheda “Avanzate”, sezione
“Java”; in Mozilla Firefox, menù Strumenti, Opzioni, scheda Contenuti,
disabilitare la casella Attiva Java) oppure da software firewall.
Disattivando le applet, si potranno comunque eseguire applicazioni
sviluppate in Java sul personal computer. Sono infatti un sempre maggior numero
le applicazioni che poggiano su Java (soprattutto quelle contabili e
gestionali): uno dei vantaggi principali deriva infatti dal fatto che JRE può
essere installato su piattaforme completamente diverse (Windows, Linux,
Solaris).