Java, le autorità USA consigliano di rimuovere il plug-in

Nella giornata di ieri, vi avevamo avvisato di una pericolosa falla presente in tutte le build di Java per tutte le piattaforme dalla versione 4 alla 7, e vi avevamo anche spiegato come procedere all’update rilasciato poco dopo da Oracle. Chi pensava di essere al sicuro, però, dovrà ricredersi: il Dipartimento di Sicurezza Interna degli Stati Uniti d’America (DHS), infatti, non cede di un passo e continua a propugnare la rimozione senza pietà del plug-in.

Questa volta sembrava che le cose si fossero aggiustate in tempo lampo, e che avessimo evitato un bis di tragedia. Nel giro di poche ore, da quando era stata divulgata la notizia della falla zero day, Oracle ha prodotto e pubblicato un aggiornamento per calafatare OS X, Linux e Windows, e renderli impermeabili ad eventuali programmi o siti Web malevoli. Ciò però non è stato sufficiente a far rientrare l’allarme del DHS, che infatti oggi scrive:

Il Security Alert CVE-2013-0422 di Oracle afferma che Java 7 Update 11 risolve questo problema (CVE-2013-0422), più un’altra vulnerabilità (CVE-2012-3174). I dati indicano che solo la vulnerabilità sul riflesso è stata risolta ma che resta ancora quella del JMX MBean. Java 7 Update 11 imposta il livello di sicurezza di default di Java su “Alto” in modo tale che agli utenti compaia un avviso prima dell’esecuzione di applet Java non firmate o auto-firmate.
A meno che non sia assolutamente necessario far girare Java nel browser, disabilitatelo al più presto, anche dopo l’aggiornamento a Java Update 7. Ciò aiuterà ad evitare la diffusione di altre vulnerabilità in Java che potrebbero essere scoperte in futuro.

L’idea, insomma, è che se non vi serve per qualche ragione (tipo LogMeIn, MyDilink, etc.), sarebbe meglio disabilitare o disinstallare tout court questo benedetto plug-in. Infondo, scrive Immunity in un post sul proprio blog, “un hacker con sufficienti conoscenze di Java -e con l’aiuto di un altro bug zero day per rimpiazzare quello appena corretto- potrebbe tranquillamente continuare a compromettere i computer degli utenti.” Concetto che teoricamente si applica a qualunque software nell’universo, ma che con Java risulta particolarmente azzeccato.

Per disabilitare Java 7 sul proprio Mac è sufficiente fare clic su “Java” all’interno delle Preferenze di Sistema, quindi su “Sicurezza;” poi, basta rimuovere la spunta da “Abilitare il contenuto Java nel browser”, dare un “Applica” e il gioco è fatto. Per la disinstallazione completa, invece, spostate nel cestino il file JavaAppletPlugin.plugin che trovate in Libreria:Internet Plug-Ins.