Logo Blogo

Tutti gli articoli con tag java

Java, aggiornamenti disponibili per OS X

pubblicato da Giacomo "aW" Martiradonna

java-update

Sembrano finalmente lontani i tempi in cui tra la scoperta di una falla e il relativo update passavano interi mesi. Ieri vi segnalavamo l’ennesima vulnerabilità scoperta in Java, e questa mattina Apple e Oracle hanno già provveduto a pubblicare le patch necessarie per correggere il problema. Ecco cosa c’è da fare.

A partire da Java 7, disponibile solo per le varianti più recenti di OS X, la responsabilità degli aggiornamenti è passata ad Oracle, ma per le vecchie versioni dipendiamo ancora da Cupertino. Non che questo rappresenti un problema, intendiamoci, visto che oramai la lezione di Flashback è stata appresa, e su questo fronte la mela ha inasprito vigilanza e interventi.

FireEye, la società di sicurezza che ha scoperto la falla, scriveva:

Abbiamo individuato una nuova vulnerabilità zero day utilizzata per attaccare diversi clienti. Nello specifico, abbiamo osservato la riuscita di un attacco contro browser che avevano Java 1.6 update 41 e Java v1.7 update 15.

Il nostro consiglio -sempre che non vi servisse per qualche scopo specifico- era di eliminare il plugin tout-court; ma ovviamente, dipende dalle necessità personali, e chi vuole procedere all’update può farlo seguendo queste semplici istruzioni. Gli utenti su Lion e Mountain Lion possono scaricare Java for OS X 2013-002, così da arrivare a Java SE 6 versione 1.6.0_43. Quelli fermi a Snow Leopard, invece, debbono indirizzarsi verso Java for Mac OS X 10.6 Update 14, o in alternativa avviare Aggiornamento Software. Per Java 7, infine, basta fare una capatina sulla pagina giusta del sito Oracle.

....
condividi 1 Commenti

Java, scoperta l'ennesima vulnerabilità

pubblicato da Giacomo "aW" Martiradonna

java-vulnerabilità-mac

Ci risiamo. A brevissima distanza dalle violazioni che hanno colpito Apple, Facebook, Twitter e perfino Evernote, i ricercatori hanno scoperto un’altra pericolosa falla nel plugin Java che consente di installare software da remoto e fare moltissimi danni. Davvero, se non lo avete ancora fatto, è giunta l’ora della disinstallazione.

Gli attacchi dei giorni scorsi avevano costretto Cupertino a bloccare Java per l’ennesima volta fino al momento in cui Oracle ha rilasciato le patch richieste. Senonché, scrive FireEye, Java v1.6 Update 41 e Java v1.7 Update 15 risultano ora vulnerabili ad un nuovo malware capace di installare sulle macchine degli utenti un tool di accesso remoto chiamato McRAT.

Si tratta di una tecnologia completamente diversa da quella che ha causo lo scompiglio del mese scorso e che a questo punto può essere risolta in un solo modo. Drastico ma massimamente efficace:

Abbiamo notificato ad Oracle la nostra scoperta e continueremo a lavorare con loro sulla faccenda. Poiché questa falla esiste sia nell’ultima versione di Java 6u41 e Java 7u15, preghiamo tutti gli utenti di disabilitare Java nei loro browser fino a quando non venga rilasciata una nuova patch. In alternativa, impostate su “High” il livello di sicurezza del plugin e non eseguito applet Java sconosciute al di fuori della vostra organizzazione.

Continua a leggere: Java, scoperta l'ennesima vulnerabilità

....
condividi 4 Commenti

Attacco hacker Apple, ecco com'è avvenuto il contagio

pubblicato da Giacomo "aW" Martiradonna

iphonedevsdk

Il mese scorso, a Cupertino, un certo numero di Mac è stato soggetto ad un attacco da parte degli hacker; i computer coinvolti avevano visitato i forum di iPhoneDevSDK, un sito di programmazione molto popolare tra gli sviluppatori iOS. Si è scoperto poi che, contrariamente a quanto inizialmente sospettato, il governo cinese non c’entrava nulla e che le responsabilità dell’episodio erano da attribuire in toto a non meglio precisati hacker russi o esteuropei. E al buggatissimo Java, ovviamente.

L’attacco si è protratto per molti giorni e si è concluso il 31 gennaio scorso. Oramai l’emergenza dovrebbe essere risolta, e così Ian Sefferman, il proprietario di iPhoneDevSDK, ha raccontato un po’ più nel dettaglio com’è avvenuta la propagazione del malware:

Abbiamo appreso che solo un account amministratore è stato compromesso. Gli hacker hanno poi usato questo account per modificare il nostro tema e iniettare JavaScript nel nostro sito. Quel codice JavaScript sembra aver usato una falla sconosciuta e molto sofisticata per penetrare all’interno dei computer di certi utenti.
Stiamo ancora tentando di determinare i dettagli e l’esatta sequenza degli eventi, ma sembra che tutto sia terminato il 30 gennaio 2013.
Per quanto concerne Facebook, è importante sottolineare che non abbiamo ragione di credere che siano stati compromessi i dati utente.

Continua a leggere: Attacco hacker Apple, ecco com'è avvenuto il contagio

....
condividi 3 Commenti

Update per iTunes, Java e Malware Removal Tool di OS X

pubblicato da Giacomo "aW" Martiradonna

updatejava-itunes

Poche ore fa, da Cupertino è partito un bastimento carico di update per OS X. Apple ha infatti rilasciato quasi contemporaneamente iTunes 11.0.2, coi suoi bug-fix la nuova vista Compositori, Java 6 per Mac e una versione aggiornata delle funzionalità anti-malware integrate in OS X.

Il rilascio di Java è arrivato dopo che uno dei computer di Cupertino è stato violato da un hacker. In poche ore, Apple ha aggiornato OS X in modo da rendere obsoleta la precedente build del plugin, e ha provveduto a distribuire Java per Mac OS X 10.6 Update 13 dedicato ai vecchi OS con la mela. Il changelog recita:

Java per Mac OS X 10.6 Update 13 migliora la sicurezza, l’affidabilità e la compatibilità del computer aggiornando Java SE 6 a 1.6.0_41.
Su sistemi in cui Java per OS X 10.6. Update 9 o successive non è presente, questo update configurerà il browser Web perché non esegua applet Java. Le applet Java possono essere riabilitate facendo clic sulla regione chiamata “Plug-in inattivo” su una pagina Web. Se non viene utilizzata alcuna applet per un periodo congruo di tempo, il plugin Java viene automaticamente disattivato.

Continua a leggere: Update per iTunes, Java e Malware Removal Tool di OS X

....
condividi 0 Commenti

Apple blocca Java (di nuovo)

pubblicato da Ippocampo

A distanza di due settimane dall’ultima volta, Apple ha bloccato Java su OS X. Le motivazioni dietro la scelta di Cupertino sono legate, ancora una volta, a problemi di sicurezza che sfruttano il plugin di Oracle per eludere le protezioni di OS X.

Il metodo usato per il blocco del plugin è il collaudato aggiornamento del file blacklist Xprotect.plist, presente su Mac da OS X 10.6 Snow Leopard. La mossa preventiva di Apple rende di fatto impossibile l’utilizzo di Java su OS X come plugin per browser fino al rilascio di una nuova versione da parte di Oracle.

La versione 11 di Java 7 ha quindi resistito un totale di soli 16 giorni prima di essere disabilitata. I tempi di rilascio della nuova versione non sono ancora noti ma è possibile verificare la disponibilità di aggiornamenti tramite il Pannello di Controllo Java, alla sezione “Aggiorna”.

....
condividi 4 Commenti

Java, le autorità USA consigliano di rimuovere il plug-in

pubblicato da Giacomo "aW" Martiradonna

java7-disabilitazione

Nella giornata di ieri, vi avevamo avvisato di una pericolosa falla presente in tutte le build di Java per tutte le piattaforme dalla versione 4 alla 7, e vi avevamo anche spiegato come procedere all’update rilasciato poco dopo da Oracle. Chi pensava di essere al sicuro, però, dovrà ricredersi: il Dipartimento di Sicurezza Interna degli Stati Uniti d’America (DHS), infatti, non cede di un passo e continua a propugnare la rimozione senza pietà del plug-in.

Questa volta sembrava che le cose si fossero aggiustate in tempo lampo, e che avessimo evitato un bis di tragedia. Nel giro di poche ore, da quando era stata divulgata la notizia della falla zero day, Oracle ha prodotto e pubblicato un aggiornamento per calafatare OS X, Linux e Windows, e renderli impermeabili ad eventuali programmi o siti Web malevoli. Ciò però non è stato sufficiente a far rientrare l’allarme del DHS, che infatti oggi scrive:

Il Security Alert CVE-2013-0422 di Oracle afferma che Java 7 Update 11 risolve questo problema (CVE-2013-0422), più un’altra vulnerabilità (CVE-2012-3174). I dati indicano che solo la vulnerabilità sul riflesso è stata risolta ma che resta ancora quella del JMX MBean. Java 7 Update 11 imposta il livello di sicurezza di default di Java su “Alto” in modo tale che agli utenti compaia un avviso prima dell’esecuzione di applet Java non firmate o auto-firmate.
A meno che non sia assolutamente necessario far girare Java nel browser, disabilitatelo al più presto, anche dopo l’aggiornamento a Java Update 7. Ciò aiuterà ad evitare la diffusione di altre vulnerabilità in Java che potrebbero essere scoperte in futuro.

Continua a leggere: Java, le autorità USA consigliano di rimuovere il plug-in

....
condividi 0 Commenti

Apple blocca Java 7 in OS X per ragioni di sicurezza [Aggiornato]

pubblicato da Giacomo "aW" Martiradonna

java-7-blacklist-osx

Una pericolosa vulnerabilità individuata di recente in Java dalla versione 4 alla 7, e presente in tutte le varianti del plugin compresa quella per OS X, consente ad un malintenzionato con le giuste conoscenze di rubare l’identità dell’utente o di inserirlo a sua insaputa in una botnet. E mentre il Dipartimento della Sicurezza Interna degli Stati Uniti d’America (DHS) consiglia a tutti indistintamente di disabilitare Java sul proprio computer, Apple lo ha già fatto d’ufficio sui Mac fino a contrordine.

Per il momento, non esistono ancora siti o software malevoli che sfruttino la nuova falla scoperta in queste ore, ma c’è da scommettere che presto la situazione si ribalterà a svantaggio della comunità; tanto che sono intervenute perfino le autorità statunitensi con un monito ufficiale:

“Non siamo a conoscenza di una soluzione pratica a questo problema” ha affermato il Computer Emergency Readiness Team (CERT) del DSH in un resoconto sul loro sito Web questa sera. “Tale vulnerabilità sta per essere sfruttata anche all’esterno, e proprio in queste ore viene incorporata in programmi malevoli. Oramai, tutto il codice per produrre un attacco è disponibile pubblicamente.”

Continua a leggere: Apple blocca Java 7 in OS X per ragioni di sicurezza [Aggiornato]

Niente più Java per il 41% dei Mac in circolazione

pubblicato da Giacomo "aW" Martiradonna

java7

Brutte notizie per i possessori dei Mac più datati. Presto infatti Oracle pubblicherà l’ultima patch pubblica prevista per Java 6, e gli esperti hanno già lanciato l’allarme per la nostra piattaforma: il 41% degli utenti Apple resterà in balia del caso e dei malware. Ecco perché.

Il 19 febbraio 2013, Oracle rilascerà l’ultimo update di sicurezza pubblico pianificato per Java 6; come riportato dalla roadmap di sviluppo, da quel momento in poi, solo le società con contratto di supporto a pagamento continueranno a ricevere le modifiche al codice. Per questa ragione, spiegano i tecnici, sarebbe opportuno aggiornare a Java 7 il più presto possibile.

Il fatto è che Java 6 era gestito da Apple, che dal canto suo si limitava a incastonare nei propri update le modifiche create da Sun, mentre conn la nuova versione siamo completamente nelle mani di Oracle. E fin qui tutto bene, se non fosse che Java 7 richiede esplicitamente OS X 10.7 Lion o superiori. Cosa che, secondo gli ultimi dati di Net Applications, taglierà fuori circa il 41% del parco macchine Apple esistente al mondo. Tali utenti, insomma, resteranno confinati in un limbo dal quale non possono uscire né aggiornando la vecchia versione né saltando alla nuova. Una bella fregatura, soprattutto se consideriamo che Java 7 si installa perfino su quel residuato bellico di Windows XP, coi suoi 11 anni di onorato servizio alle spalle.

Ricorderete senza dubbio cosa accadde all’inizio dell’anno quando Flashback colpì grossomodo il 2% dei Mac in circolazione. Allora ci scagliammo con vigore contro la politica letargica degli aggiornamenti di Cupertino, visto che una patch risolutiva Oracle l’aveva resa disponibile molti mesi prima del contagio di massa.

Per il momento, comunque, la situazione è questa e, se ci saranno cambiamenti nei prossimi mesi, vi avviseremo tempestivamente. Potete verificare la versione di Java installata sul vostro Mac consultando questa pagina del sito Oracle. Chi non l’ha ancora fatto e può, passasse all’ultima versione; per tutti altri, invece, just stay tuned.

....
condividi 4 Commenti

Apple aggiorna Java per OS X e rimuove i plugin per le applet

pubblicato da Ruthven

Missing plugin
L’ultimo aggiornamento software di Java per OS X 2012-06 ha rimosso il supporto per le applet Java dai browser. Questo vuol dire che diventa impossibile far girare una qualsiasi applet Java da un browser sotto OS X, a meno che non si scarichi l’ultima versione di Java direttamente da Oracle. Questo vuol dire far girare in parallelo sia la versione Java di Oracle che quella fornita dalla Apple, oltre che ad aggiornare entrambe le versioni quando necessario.

Non è la prima volta che Apple interrompe il seguimento di un plugin specifico per un navigatore sotto OS X. Fu il caso del plugin Flash di Adobe, accusato di lentezza e di drenare continuamente risorse dal computer, e finalmente rimosso anche da Firefox. Il CEO di Adobe, Kevin Lynch aveva inutilmente reagito alle critiche di Apple riguardo alla riduzione dell’autonomia dei nuovi MacBook Air con l’uso di Flash vaticinando che HTML5 potrebbe richiedere la stessa quantità di potere computazionale del plugin di Adobe Flash.

Ma con l’inibizione delle applet Java, Apple sembra tirare decisamente avanti nella sua politica che mira ad offrire agli utenti una navigazione Web senza plugin. Questo concetto si è rafforzato ulteriormente dopo il successo di iOS, il quale non supporta plugin da almeno sei anni.

Foto | CultofMac

Oracle rilascia un patch che corregge il bug in Java 7

pubblicato da Ruthven

Oracle corregge il bug in Java 7Un bug in Java 7 ha aperto le porte dei computer che ne fanno uso ad eventuali hacker malintenzionati. L’allarme è stato lanciato qualche giorno fa, quando il produttore di software antivirus specifico per Mac Intego aveva fatto notare che la falla di sicurezza potrebbe benissimo essere sfruttata contro utenti Mac, sebbene l’exploit fosse stato inizialmente usato contro Windows.

Sembra che Oracle fosse a conoscenza del bug già da qualche mese, ma che non avesse reagito in nessun modo, almeno finora. Adesso che la falla in Java 7 è di dominio pubblico, l’azienda americana ha rapidamente prodotto un patch per correggere l’errore in Java 7 (JRE 1.7): in un comunicato, Oracle ha annunciato quindi la disponibilità di Java SE 7 Update 7.

La versione di Java per OS X può essere aggiornata automaticamente dalle Preferenze di Sistema oppure dalla pagina dei download di Oracle. La release corregge la falla di sicurezza di Java 7 finita sotto i riflettori questa settimana e vari altri bug. Oracle ha inoltre rilasciato Java SE 6 Update 35, che corregge un problema della versione precedente.

....
condividi 0 Commenti