Patch d’emergenza per Java e Internet Explorer

ManagementMarketingSicurezzaSoluzioni per la sicurezza
Patch day d'ottobre 2013

Patch d’emergenza per Oracle e Microsoft. Oracle rilascia Java 7 update 11, l’ultima versione del pacchetto Java. Microsoft risolve una vulnerabilità in IE. a pochi giorni dal Patch day

Oracle ha rilasciato Java 7 Update 11 per risolvere la falla zero-day che erac stata resa nota lo scorso 10 gennaio dal Computer Emergency Readiness Team (CERT) del Dipartimento di Sicurezza nazionale degli Stati Uniti. La falla, a rischio ransomware, bloccando il Pc e chiedendo un riscatto, poteva essere sfruttata per eseguire codice remoto, e  nel caso in cui l’utente avesse visitato un sito malevolo creato appositamente.Ma la patch rilasciata ad ottobre ha risolto solo parzialmente la vulnerabilità. La società ha preso atto di cambiare le impostazioni di sicurezza della VM così da complicare l’esecuzione di pacchetti .jar (il formato di distribuzione di applet Java sul web) non autorizzati. Ma le contromisure di Oracle: non rassicurano. E Mozilla è corsa ai ripari mettendo Java 7 Update 10 nella blocklist di Firefox. Analogamente, Apple. Java 7 Update 11 dovrebbe ora assicurare maggiore sicurezza, anche perché porta Java al livello di sicurezza di Java per impedire l’esecuzione automatica delle applet e delle applicazioni non firmate senza l’autorizzazione dell’utente. Tuttavia il CERT suggerisce di usare il plugin solo se proprio necessario. Che fare? Oracle dovrebbe prendere di petto la situazione, rilasciare un aggiornamento, questa volta radicalmente efficace, per il diffusissimo runtime Java. Il Department of Homeland Security (DHS) ha avvertito che anche l’ultima patch non basta: consiglia agli utenti di disabilitare Java. Immunity conferma che un nuovo attacco con un nuovo bug zero-day è possibile.

Ma non è solo Oracle sulle spine per problemi di sicurezza. Microsoft ha deciso di sanare un’altra vulnerabilità zero day in Internet Explorer, rilasciando una Patch fuori dal ciclo mensile. L’ultimo Patch day conteneva ben 12 update di sicurezza, con cinque bollettini Importanti e due bollettini Critici. I sette aggiornamenti di inizio 2013: sono il bollettino MS13-001 per risolvere la falla nello spooler di stampa di Windows; MS13-002 per sanare la falla in XML; MS13-003 per risolvere la vulnerabilità in Microsoft System Center Operations Manager 2007 Service Pack 1 e Microsoft System Center Operations Manager 2007 R2; MS13-004 è la patch destinata al bug nel framework .Net; MS13-005 per sistemare una vulnerabilità nel kernel mode di Windows (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 e Windows Server 2012); MS13-006 sana una falla in Windows relativa all’implementazione in Windows dei protocolli SSL/TLS; MS13-007 sistema il protocollo Open Data a rischio Dos.

Patch d'emergenza per Oracle e Microsoft
Patch d’emergenza per Oracle e Microsoft
Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore