A circa due settimane dal rilascio, da parte di Oracle, dell’aggiornamento numero 6 di Java SE 7 per OS X, è stata scoperta una nuova vulnerabilità, la quale potrebbe rappresentare una grave minaccia per chi utilizza questo software.
La situazione è stata messa a fuoco da Krebs on Security, che ha inoltre evidenziato come questa vulnerabilità colpisca tutte le versioni di Java 7 sulla maggior parte dei browser:
La notizia della vulnerabilità (denominata CVE-2012-4681) è emersa la scorsa settimana in un post, peraltro piuttosto scarno, apparso sul blog FireEye, nel quale si affermava che l’exploit è stato sviluppato in funzione dell’ultima versione di Java 7 (1.7, Update 6). Questa mattina, i ricercatori André M. Dimino e Mila Parkour hanno diramato ulteriori dettagli sugli attacchi di questa tipologia visti finora, a conferma che l’exploit 0day è riuscito a colpire Java 7 a partire dall’Update 0 fino a quest’ultimo Update 6, ma non sembra avere impatti su Java 6 e precedenti.
I primi rapporti indicano che il codice dell’exploit funziona su tutte le versioni di Internet Explorer, Firefox ed Opera e per ora non è funzionante su Google Chrome. Secondo Rapid 7 però, alcuni hacker stanno sviluppando un modulo Metasploit che farebbe funzionare questo exploit anche su Chrome (su Windows XP).
La relazione rileva inoltre che Oracle sta approntando un ciclo trimestrale per gli aggiornamenti di Java, il che significa che il prossimo aggiornamento non sarà disponibile prima di ottobre e non è ancora chiaro come la Software House voglia muoversi per affrontare la questione.
Nel frattempo, alcuni esperti di sicurezza stanno sviluppando una patch non ufficiale, mentre gli utenti che non hanno bisogno di utilizzare Java sono invitati a disabilitarlo. Computerworld ha riportato che l’exploit colpisce anche OS X Mountain Lion con Java 7 installato:
David Maynor, CTO di Errata Security, ha confermato che il Metasploit, pubblicato a meno di 24 ore di distanza dalla scoperta del bug, è efficace su Java 7 installato su OS X Mountain Lion.
Quindi questo exploit funziona su OS X se si esegue JRE 1.7 (Java Runtime Environment). JRE 1.7 include la versione più recente di Java 7, soprannominata Update 6, rilasciata all’inizio del mese.
Sia Safari 6 che Firefox 14 sono stati scoperti vulnerabili a questo exploit su OS X.
Ovviamente, parlando di Java 7 installato su Mac, ci si riferisce alla developer preview di Java 7, visto che questo software non è ancora stato rilasciato ufficialmente per la piattaforma Mac. Ciò significa che la maggior parte degli utenti Mac sono al sicuro da questa minaccia, in quanto OS X esegue attualmente la versione 6 di Java che, come vi ho detto prima, non è vulnerabile a questo exploit.
I problemi di sicurezza che hanno afflitto i Mac finora sono derivati dalle vulnerabilità di Java. Il più recente esempio è rappresentato dal malware Flashback, che è stato in grado di infettare oltre 600.000 Mac sfruttando un exploit in Java 6, già patchato da Oracle per la maggior parte delle piattaforme.
A causa dell’incidente con Flashback e ad altri incidenti simili, Apple sta man mano spostando la responsabilità degli aggiornamenti di Java ad Oracle, responsabilità che sarà definitivamente passata a partire da Java 7. Nonostante gli utenti Mac avranno la possibilità di ricevere gli aggiornamenti di Java 7 insieme agli utenti delle altre piattaforme, esso rimarrà uno dei principali bersagli di attacco da parte degli hacker nel tentativo di compromettere i sistemi su larga scala.
Fonte: MacRumors
