Arrivano due notizie sul fronte sicurezza: una buona e una cattiva. Bisogna purtroppo iniziare dalla cattiva, per poter spiegare il problema. Ad essere coinvolto è il plug-in Java di Oracle, il quale presenta al suo interno una falla molto critica, in grado di arrecare seri danni sia al computer che all'utente.

La vulnerabilità, infatti, può essere sfruttata per l'installazione di software non autorizzato nel sistema operativo, con conseguente esecuzione di codice arbitrario e possibilità da parte dei malintenzionati di sfruttare il dispositivo infetto per raccogliere informazioni personali sull'utente, nonché includere l'ignaro malcapitato in una botnet, ai fini dell'invio di spam o di altre tipologie di azioni illecite come il Denial Of Service verso obiettivi sensibili nel Web. La falla coinvolge non solo Windows, ma anche OS X e più in generale qualsiasi sistema operativo desktop che possa disporre del plug-in Java. La palla, dunque, passerà necessariamente a Oracle per la correzione del bug, che si spera avvenga nel minor tempo possibile.

Qui arriviamo alla buona notizia. Come riporta Macrumors, infatti, Apple ha a suo modo agito per prevenire attacchi mirati ai Mac su cui è installato Java. Il file XProtect.plist, parte della funzionalità antimalware di base di OS X, viene utilizzato dall'azienda di Cupertino anche per inibire automaticamente vecchie versioni di plug-in che possono creare problemi. In questo caso, l'aggiornamento automatico giornaliero ha portato l'inclusione nella blacklist della versione più recente di Java, 1.7.0_10-b18.

javainblacklistapple

Al ricevimento del bugfix con annesso incremento di numero di versione, il sistema di protezione darà nuovamente il "via libera" a Java. Consigliamo ad ogni modo di disattivare anche il plug-in dal proprio browser. Una soluzione un po' drastica, soprattutto per chi ha necessità di usare Java ad esempio a fini lavorativi, ma è pur sempre meglio del rimanere esposti a questo tipo di pericoli. Ricordiamo che da Lion in poi Apple non include più Java all'interno del sistema operativo, perciò è possibile non sia presente se non si è mai resa necessaria in un secondo momento la sua installazione: in tal caso, quanto detto sopra non si applica in quanto non essendoci Java non è nemmeno possibile per i criminali sfruttare la vulnerabilità.