Negli ultimi mesi si sono moltiplicati gli attacchi a Java. Lo ha rilevato Microsoft, che lo ha prontamente comunicato tramite uno dei blog aziendali. Gli attacchi rilevati sfruttano vulnerabilità note per eseguire codice in remoto, e sono multipiattaforma. Colpiscono cioè tutti i sistemi operativi (almeno al primo livello). Gli attacchi sono stati così numerosi da superare abbondantemente quelli mirati ad Adobe PDF.
Java
Tutte le vulnerabilità sfruttate sono già state corrette da Oracle. L'esistenza di un aggiornamento tuttavia non garantisce che gli utenti lo scarichino e lo installino.
Come nota Holly Stewart, il ricercatore Microsoft che ha diffuso la notizia, questo fatto è particolarmente grave perché Java è una piattaforma diffusa capillarmente su quasi tutti i computer del mondo. Eppure non è particolarmente visibile all'utente, perché serve a far funzionare altre applicazioni. Tra le conseguenze di questa situazione c'è anche il fatto che gli utenti tendono a non preoccuparsi di aggiornarlo: anzi, in molti casi la notifica degli aggiornamenti è interpretata come la noiosa intromissione di "una cosa che non uso".
Evoluzione degli attacchi a Java e PDF - Clicca per ingrandire
I numeri assoluti degli attacchi che sfruttano Java tuttavia non sono ancora particolarmente allarmanti. Il dato diventa rilevante se si considera il ritmo di crescita negli ultimi mesi, che potrebbe indicare una nuova tendenza nella diffusione del malware.
CVE | Attacks | Computers | Description |
---|---|---|---|
CVE-2008-5353 | 3,560,669 | 1,196,480 | A deserialization issue in vulnerable versions of JRE (Java Runtime Environment) allows remote code execution through Java-enabled browsers on multiple platforms, such as Microsoft Windows, Linux, and Apple Mac OS X. |
CVE-2009-3867 | 2,638,311 | 1,119,191 | Another remote code execution, multi-platform issue caused by improper parsing of long file:// URL arguments. |
CVE-2010-0094 | 213,502 | 173,123 | Another deserialization issue, very similar to CVE-2008-5353. |
In conclusione il ricercatore sottolinea il fatto che gli attacchi basati su Java possono essere meno comuni (per ora) ma non per questo meno pericolosi. La prossima volta che compare una notifica di aggiornamento Java forse dovremmo dargli più importanza.