www.MegaLab.it

L'ambiente Java Runtime Environment (JRE) distribuito da Sun e necessario per eseguire applet Java su web o applicazioni complete è afflitto da 8 problemi di sicurezza, la cui gravità è stata valutata da Secunia come Highly Critical.

I primi sette problemi sono localizzati nelle API Reflection, una serie di funzionalità necessarie per referenziare alcune informazioni non altrimenti disponibili nelle classi Java, quali il tipo dei campi (per maggiori informazioni su Reflection API si veda questo articolo sul sito di Sun): sfruttando queste debolezze un cracker potrebbe realizzare un'applicazione Java in grado di accedere ai file dell'utente ed addirittura eseguire programmi al di fuori Java Virtual Machine.

L'ultimo problema interessa invece l'applicazione Java Web Start inclusa nel pacchetto: anche in questo caso un errore nella progettazione dell'applicazione potrebbe permettere ad un programma Java di "uscire dal recinto" JVM.

Sono interessate dal problema tutte le versioni di Java (Java Runtime Environment (JRE), Java Developer Environment (JRE) e Java Developer Kit (JDK)) precedenti alla 1.5.0 Update 6 (ricordiamo che il nome "Java 5" è il sinonimo commerciale di per Java 1.5): per sapere quale versione di Java è installata sul sistema corrente è sufficiente selezionare Start -> Esegui e digitare da qui cmd e quindi java -version al prompt di comando. In caso nella prima riga figurasse un numero di versione 1.5.0_05 o inferiore il sistema è da considerarsi esposto a rischi.

La versione di Java epurata dal problema può essere scaricata da qui in versione utente finale, oppure da qui per gli sviluppatori .

Ricordo infine che Java installa il proprio plug-in anche nel navigatore web: basta quindi visitare una pagina web creata ad hoc con un sistema non debitamente aggiornato per ritrovarsi potenzialmente infettati da virus, worm o quant'altro.

L'aggiornamento deve quindi essere considerato prioritario.