Java 7, una patch d'emergenza, Oracle sapeva da mesi
Oracle è a conoscienza dei due bug presenti in Java 7 sin da Aprile, ha dichiarato Adam Gowdiak, fondatore e amministratore delegato dell'azienda polacca Security Explorations.
Security Explorations ha comunicato a Oracle ben 19 bug in Java 7 il 2 di Aprile. Questi bug includono i due zero-day exploit che gli hacker stanno ora sfruttando per infettare computer di tutto il mondo, ha dichiarato Gowdiak.
L'azienda ha continuato a comunicare bug e vulnerabilità a Oracle nei mesi a seguire, finché il totale ha raggiunto le 29 vulnerabilità. "Abbiamo dimostrato ben 16 modi di compromettere la sandbox di Java SE 7 con i bug da noi scoperti," ha dichiarato Gowdiak.
Il metodo per bypassare la sandbox pubblicato negli ultimi giorni è però diverso da quanto ha mostrato Security Explorations a Oracle, portando Gowdiak a pensare che si tratti di una scoperta legittima e indipendente e che non si tratti di una fuga di dati.
Niente può però essere escluso al 100%. "Non sappiamo con chi e cosa Oracle condivida a riguardo delle vulnerabilità," ha dichiarato Gowdiak.
Secondo il report ricevuto il 23 Agosto, Oracle ha in programma di patchare le due vulnerabilità con la Critical Patch Update (CPU) di Ottobre insieme a altri 17 problemi indicati da Security Explorations. Oracle pubblica le patch ogni 4 mesi: l'ultima è stata pubblicata a Giugno, ma fissava solo 3 delle vulnerabilità indicate dall'azienda polacca. "Anche se siamo in contatto con Oracle e la comunicazione tra di noi è sempre stata ottima, non sappiamo perché abbiano lasciato dei bug così critici per la CPU di Ottobre," ha concluso Gowdiak.
In quanto ancora priva di patch, per proteggersi da queste vulnerabilità, la prima cosa da fare è verificare se abbiamo una versione compromessa di Java visitando questo sito. Se la risposta è sì, allora si consiglia vivamente di disabilitare Java.
Aggiornamento
Sembra che Oracle si sia decisa a rilasciare una patch urgente. Se non potete disablitare Java consiglio di installare immediatamente la patch.
- [24/12/12] Windows 8 e Java bersagli degli hacker nel 2013
- [29/08/12] Gravissimo bug in Java 7
- [09/06/11] Oracle patcha 17 vulnerabilità di Java SE
- [11/04/11] Microsoft: 17 bollettini per 64 bug nel Patch Tuesday di domani
- [18/10/07] Tempo di patch per Oracle