Vulnerabilità zero-day in Java 6

Alcuni ricercatori tra cui Timo Hirvonen, senior analyst presso F-secure, hanno recentemente consigliato agli utilizzatori di Java 6 una rapida migrazione a Java 7; questo per evitare di esporre i propri sistemi ad eventuali attacchi basati su una vulnerabilità, registrata come CVE-2013-2463, per la quale non sarebbe attualmente disponibile alcuna patch.

Per la precisione, la Remote Code Execution Vulnerability associata al CVE-2013-2463 è stata confermata dalla Oracle e risolta per Java 7 lo scorso giugno, la minaccia riguarda però anche Java 6, ma quest’ultima versione non è più supportata dalla casa madre a partire dall’aprile del 2013 e non gode più di Public Updates dal febbraio dell’anno corrente.

Descritta come una vulnerabilità zero-day implicita, la falla citata sarebbe ora ancora più rischiosa a causa di un Proof of Concept realizzato nelle scorse ore e, conseguentemente, di un probabile exploit; andrebbe poi considerata l’ampia diffusione di Java 6 che ancora oggi, a pochi mesi dal rilascio della release 8, godrebbe di un market share intorno al 50% sulle istallazioni.

A questo punto le soluzioni per evitare di essere esposti ad eventuali attacchi potrebbero essere tre: disinstallare Java 6, passare quanto prima a Java 7 Update 25 o mantenere la versione 6 e rivolgersi al programma Oracle Java SE Support, nella Java SE Support Roadmap l’azienda ha infatti specificato che:

For enterprise customers, who need continued access to critical bug fixes and security fixes as well as general maintenance for Java SE 6 or older versions, long term support is available through Oracle Java SE Support.

Naturalmente, quest’ultima soluzione è consigliabile soltanto a tutti coloro che attualmente non possono effettuare una migrazione al Java 7 per esigenze legate ai requisiti delle proprie applicazioni.

Via: The Laws of Vulnerabilities