Java chiude 37 vulnerabilità nella prossima patch

Oracle ha finalmente rilasciato informazioni sulle patch di Aprile previste per Java. Come ogni trimestre, gli update sono moltissimi ed è bene dedicargli un po' d'attenzione.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Qual è il software che popola gli incubi di tutti gli amministratori della sicurezza di un'azienda? Sì, proprio Java e quindi le patch trimestrali che vengono rilasciate sono un evento che non deve passare inosservato. La parte più interessante per noi utenti è che questo trimestre si tappano ben 37 falle per Java Standard Edition, quella che molti di noi (volenti o nolenti) sicuramente hanno installata sul PC.

L'elenco è lungo. Forse un po' troppo per lasciare la cadenza degli aggiornamenti a ritmo trimestrale...

Tutti i fix interessano Java SE 8, che viene aggiornato alla v8u5; 35 fix su 37 vanno a risolvere problemi che permettono l'esecuzione di codice remoto senza autenticazione, molto gravi in caso abbiate Java abilitato sul vostro web browser. Similmente, Java SE 7 riceve 34 fix per il medesimo motivo, aggiornandosi così alla versione 7u55. Per quel che riguarda le più vecchie versioni 6 e 5, esse vengono aggiornate rispettivamente alla 6u75 e 5u55, ma gli update sono disponibili solo per chi ha un contratto di supporto.

La domanda però sorge spontanea, dato che le patch di questo mese sono molte e ovviamente in lavorazione da mesi: che succede a Java con la recente super-falla scoperta sull'estensione Heartbleed di OpenSSL?

Ebbene, il team di Oracle ha escluso di avere problemi in tal senso, in quanto, per fortuna, non si fa uso di OpenSSL. Tuttavia, Oracle ricorda che "ambienti esterni che sono utilizzati assieme a Java, dovrebbero essere controllati per la presenza di componenti che sono affetti da questa vulnerabilità".

Questi "ambienti" includono però prodotti della stessa Oracle come Oracle Linux 6 e Solaris 11.2, che sono stati opportunamente aggiornati per ovviare ai problemi di OpenSSL di recente scoperta. Naturalmente, oltre ad invitare chiunque faccia uso dei prodotti Oracle di effettuare quanto prima gli aggiornamenti, ricordiamo che molto probabilmente Java non vi serve a meno che non siate degli sviluppatori, quindi il consiglio rimane sempre quello di disabilitarlo dal vostro browser.

I siti che usano JavaScript funzioneranno ugualmente e in caso di problemi su altri siti, è sempre possibile abilitare url o applets che non funzionino dal pannello di controllo Java, in modo tale da utilizzare il programma di Oracle solo ove è strettamente e non quando serve ai cybercriminali.