Oracle ha appena provveduto a rilasciare il pacchetto Java Runtime Environment 1.6.0_20, andando così a risolvere la grave vulnerabilità nel pacchetto "Java Runtime Environment" (JRE), ampiamente installato sui sistemi Windows.
La falla era stata individuata nei giorni scorsi da Tavis Ormandy ed è stata subito bollata, da molte aziende attive nel campo della sicurezza, come "estremamente critica". Il componente affetto dal problema è il "Java Deployment Toolkit" (JDT), incluso come parte del pacchetto Java a partire dalla versione 6.0 "update 10".
La vulnerabilità poteva aprire le porte ad attacchi di tipo "drive-by download": sfruttandola, gli aggressori potevano così causare il prelievo automatico e l'installazione di malware semplicemente spronando l'utente a visitare una pagina web "maligna", preparata allo scopo.
Il problema è piuttosto serio perché la lacuna di sicurezza è sfruttabile su qualunque sistema Windows e, per questa specifica minaccia, né Windows Vista né Windows 7 sembrano poter nulla.
Dopo l'allerta di Ormandy, infatti, un altro ricercatore - Rubén Santamarta - ha reso pubbliche alcune informazioni sulla metodologia per caricare una DLL arbitraria da remoto sul sistema dell'utente-vittima. Secondo Santamarta, sarebbe possibile bypassare le misure di sicurezza DEP e ASLR del sistema operativo dal momento che la libreria viene caricata direttamente in memoria, nel processo del "Web Start Launcher" di Java.
Il software è prelevabile da questa pagina cliccando su "Download JRE". Contemporaneamente, è stato messo a disposizione anche lo strumento per sviluppatori JDK.
