La diffusione di malware è ormai talmente frequente che la US Federal Trade Commission (FTC) ha ordinato a Oracle, creatore del linguaggio di programmazione Java, di divulgare agli utenti informazioni tecniche molto specifiche per la propria sicurezza informatica.
Preso atto della necessità ormai inderogabile di dar seguito a quanto richiesto dalla FTC, Oracle ha incaricato ESET di diffondere tali informazioni attraverso i propri canali.
Il fatto stesso che un Governo come gli Stati Uniti ordini a un colosso informatico di intervenire massivamente verso i propri clienti informandoli dei rischi in cui potrebbero incorrere, fa intuire quanto sia delicato il periodo storico che stiamo vivendo a livello di attacchi informatici, e quanto la difesa proattiva da parte degli utenti – che ESET ha da sempre suggerito – sia fondamentale come prima difesa.
Il focus di questo articolo è quindi quello di fare in modo che tutti i consumatori siano consapevoli della necessità di eliminare le vecchie versioni di Java SE dai loro computer, in quanto le falle in esse presenti rappresentano un reale e serio rischio per la sicurezza e la riservatezza delle proprie informazioni. In termini tecnici, quelle versioni obsolete di Java SE contengono vulnerabilità tali che permetterebbero ai cyber criminali diversi metodi per iniettare codici dannosi sui dispositivi.
Si può pensare che una nuova installazione di versioni più recenti risolva il problema, in quanto disinstalli automaticamente le versioni precedenti di Java SE. In realtà non è affatto così, e per tutelarsi occorre verificare che questa disinstallazione sia avvenuta e intervenire manualmente qualora questo automatismo non si verifichi. Infatti, mantenere sul PC versioni vecchie, pur non utilizzate, lascia comunque una porta aperta ai malintenzionati.
Di seguito quindi le informazioni fornite da Oracle a ESET, che pubblichiamo esattamente come indicato dai sistemisti Java. Per qualsiasi problematica riscontrata occorrerà quindi contattare direttamente Oracle. Si noti inoltre che le informazioni di seguito rilasciate da Oracle fanno riferimento a sistemi operativi Windows (vedi le note qui sotto se si utilizza un sistema Mac o Linux).
Ecco il testo del messaggio che Oracle ha chiesto a ESET di pubblicare:
Operazioni da compiere per risolvere un rischio per la sicurezza Java SE sul computer
Caro cliente Java SE:
Ti stiamo inviando questo messaggio perché puoi aver scaricato, installato o aggiornato il software Java SE sul computer. La Federal Trade Commission, agenzia per la protezione dei consumatori della nazione, ci ha citato in giudizio per aver divulgato comunicazioni di sicurezza presumibilmente ingannevoli circa Java SE.
Per risolvere il contenzioso, abbiamo deciso di contattare l’utente fornendo le istruzioni su come proteggere le informazioni personali sul computer cancellando le vecchie versioni di Java SE dal device. Si prega di adottare le misure suggerite nel più breve tempo possibile.
Ecco un riassunto del contenzioso. La FTC sostiene che, in passato, quando si è installato o aggiornato Java SE, questa operazione non sostituiva la versione già presente sul computer. Successivamente abbiamo modificato l’installazione/aggiornamento di Java SE permettendo la sola rimozione della versione più recente già presente sul computer.
Perché è un problema? Perché le versioni precedenti di Java SE hanno dei bug attraverso i quali si può incorrere in gravi rischi per la sicurezza, che abbiamo corretto nelle versioni successive. Quando gli utenti scaricavano una nuova versione, Oracle comunicava che si poteva mantenere Java SE sul proprio computer aggiornandolo alla versione più recente o cancellando le versioni precedenti utilizzando l’utility Aggiungi / Rimuovi Programmi nel loro sistema di Windows. Secondo la FTC, però ciò non è sufficiente. L’aggiornamento alla versione più recente non ha sempre rimosso le versioni più vecchie e quindi molti computer hanno avuto diverse versioni installate.
Questo crea una vulnerabilità di sicurezza serio. Anche se è stata installata la versione più recente di Java SE, le informazioni personali sul proprio computer possono essere a rischio a causa delle versioni precedenti, meno sicure, che possono essere ancora eseguite.Per risolvere il problema, visitate la pagina http://java.com/uninstall , in cui vengono fornite istruzioni su come disinstallare le vecchie versioni di Java SE. Questa pagina web fornisce anche un link diretto al programma di disinstallazione di Java SE, che è possibile utilizzare per disinstallare le vecchie versioni di Java SE.
Si può anche visitare la pagina http://java.com/uninstallhelp se avete domande o dubbi.
Per ulteriori informazioni su questa causa, chiamare la FTC a 1-888-922-7836.
<Fine Dichiarazione Oracle>
Nota Bene:
1. Ribadiamo che le istruzioni di cui sopra non sono fornite da ESET ma da Oracle, su richiesta della FTC: per qualsiasi problematica inerente quanto sopracitato, occorre contattare la stessa Oracle che ha creato una pagina dedicata per richiedere aiuto con la disinstallazione Java.
2. Se si utilizza un computer aziendale o si lavora in un ambiente aziendale, Oracle raccomanda di verificare con il responsabile IT o il fornitore dei servizi IT prima di eseguire lo strumento di disinstallazione Java. E’ possibile infatti che l’Azienda utilizzi un’applicazione sviluppata internamente, che si basa su una versione precedente di Java.
3. L’Oracle Java Uninstall Tool funziona solo su Microsoft Windows. E’ stata rilasciata anche la versione relativa ai sistemi oerativi Mac OS X e per gli utenti Linux.
4. Per effettuare il download dell’ultima versione del pacchetto ufficiale di Java SE per i consumatori degli Stati Uniti clicca qui.
Non scaricarlo da altri siti.
5. Il processo per l’ultima versione di Java SE dovrebbe rilevare automaticamente le vecchie versioni di Java installate come da immagine sottostante. L’azione di default è la disinstallazione.
6. Abbiamo scoperto che lo strumento di disinstallazione Java di Oracle a volte doveva essere eseguito due volte per completare le rimozioni. Inoltre, alcune rimozioni non sono andate a buon fine fino a quando il browser (Firefox nei nostri test) è stato riavviato.
7. Ulteriori informazioni sul perché è necessario disinstallare le versioni precedenti di Java sono fornite da Oracle in una FAQ.
Lascia un commento