Data di rilascio: 10 Gennaio 2013
Sistemi interessati
Qualsiasi sistema che utilizzi Oracle Java 7 (1.7, 1.7.0), inclusi
* Java Platform Standard Edition 7 (Java SE 7)
* Java SE Development Kit (JDK 7)
* Java SE Runtime Environment (JRE 7)
Tutte le versioni di Java dalla 7 alla 10 sono interessate. Web
browsers che utilizzano il plug-in Java 7 sono a rischio.
Panoramica
E’ stata riscontrata una vulnerabilità nel metodo usato da Java 7 per limitare i permessi degli applet che potrebbe consentire a un eventuale hacker l’esecuzione di codice dannoso sul sistema attaccato.
L’attacco può avvenire in seguito all’accesso a siti contenenti applet dannosi. Si può a volte trattare di siti istituzionali o affidabili nei quali siano stati inseriti a insaputa del gestore applet Java dannosi.
Qualsiasi browser che utilizzi Java o JDK può essere a rischio.
Sembra che la falla di sicurezza sia di pubblico dominio e ampiamente sfruttata da hacker che riescono a convincere i navigatori a scaricare e lanciare applet apparentemente innocui.
Soluzione
Disabilitare Java nel proprio browser.
Riferimenti
* Vulnerability Note VU#625617
<http://www.kb.cert.org/vuls/id/625617>
* Setting the Security Level of the Java Client
<http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/client-security.html>
* The Security Manager
<http://docs.oracle.com/javase/tutorial/essential/environment/security.html>
* How to disable the Java web plug-in in Safari
<https://support.apple.com/kb/HT5241>
* How to turn off Java applets
<https://support.mozilla.org/en-US/kb/How%20to%20turn%20off%20Java%20applets>
* NoScript
<http://noscript.net/>
* Securing Your Web Browser
<https://www.us-cert.gov/reading_room/securing_browser/#Safari>
* Vulnerability Note VU#636312
<http://www.kb.cert.org/vuls/id/636312#solution>
Fonte:
National Cyber Awareness System