Un falla in Java potrebbe mettere a rischio più di un miliardo di PC, secondo le prime stime. Adam Gowdiak, fondatore della società di sicurezza polacca Security Explorations, ha confermato una nuova vulnerabilità "zero-day" per PC Windows e Mac (OS 10.6 o precedenti) che hanno installato Java 5, 6 o 7 (compresa la build 10 di settembre). In pratica pare che gli hacker potrebbero violare la sicurezza dei sistemi in questione anche istallando un malware.

Java

L'unica buona notizia è che al momento non sono stati ancora riscontrati dei casi di violazione. "Non siamo a conoscenza di alcun attacco attivo che abbia sfruttato questa vulnerabilità", ha assicurato Gowdiak. Oracle comunque è stata avvertita per tempo e ha assicurato che sarà diffusa una patch con il prossimo aggiornamento sicurezza previsto per il 16 ottobre.

Gowdiak però ha preferito uscire allo scoperto perché a suo parere tre settimane di attesa sono troppe e considerata la gravità della falla sarebbe meglio accelerare i tempi. "Abbiamo fatto un annuncio pubblico in modo che gli utenti sappiano che esistono rischi associati ad alcuni software e tecnologie, in modo da agire di conseguenza", ha aggiunto l'esperto. Ovviamente i dettagli sulla natura della vulnerabilità sono stati condivisi solo con Oracle.

L'exploit proof-of-concept ha funzionato con il plug-in Java usato sulle attuali versioni di Chrome, Firefox, Internet Explorer 9, Opera e Safari su Windows 7. La disabilitazione del plug-in dovrebbe salvaguardare gli utenti fino alla disponibilità della patch.