Una pericolosa vulnerabilità individuata di recente in Java dalla versione 4 alla 7, e presente in tutte le varianti del plugin compresa quella per OS X, consente ad un malintenzionato con le giuste conoscenze di rubare l’identità dell’utente o di inserirlo a sua insaputa in una botnet. E mentre il Dipartimento della Sicurezza Interna degli Stati Uniti d’America (DHS) consiglia a tutti indistintamente di disabilitare Java sul proprio computer, Apple lo ha già fatto d’ufficio sui Mac fino a contrordine.
Per il momento, non esistono ancora siti o software malevoli che sfruttino la nuova falla scoperta in queste ore, ma c’è da scommettere che presto la situazione si ribalterà a svantaggio della comunità; tanto che sono intervenute perfino le autorità statunitensi con un monito ufficiale:
“Non siamo a conoscenza di una soluzione pratica a questo problema” ha affermato il Computer Emergency Readiness Team (CERT) del DSH in un resoconto sul loro sito Web questa sera. “Tale vulnerabilità sta per essere sfruttata anche all’esterno, e proprio in queste ore viene incorporata in programmi malevoli. Oramai, tutto il codice per produrre un attacco è disponibile pubblicamente.”
Ecco perché Apple, dopo la figuraccia planetaria del Trojan Flashback, questa volta ha preferito correre ai ripari per tempo aggiornato il file blacklist “Xprotect.plist,” presente in OS X sin dai tempi di Snow Leopard. Grazie a questo accorgimento, di fatto sono state disabilitate tutte le versioni di Java 7 in circolazione: la build minima accettata dal Sistema Operativo è infatti la 1.7.0_10-b19, che però deve ancora essere rilasciata.
Niente panico quindi se per qualche giorno alcune applicazione Web (tipo i servizi Mydilink, per chi vi è iscritto) cesseranno di funzionare. La palla a questo punto passerebbe tecnicamente a Oracle; sfortunatamente, però, tempi di rilascio dell’update non ne sono stati ancora forniti. Stay Tuned.
Falla zero day in Java: Aggiornamento
Come correttamente sottolineato da stefano.p (grazie per la soffiata!), Oracle ha già reso disponibile un aggiornamento a Java 7 che risolve definitivamente la questione, e che quindi riabilita il funzionamento del plug-in sui Mac. Se il sistema non vi suggerisce l’update automatico, potete invocarlo manualmente accedendo alle Preferenze di Sistema e facendo clic su “Java.” Lì, nel Pannelli di Controllo Java, alla sezione “Aggiorna” trovate il pulsante “Aggiorna Adesso.” Premetelo, e dimenticate pure tutta questa brutta storia.