I plugin web Java vengono avviati da OS X per la seconda volta in un mese.
Apple ha ancora una volta inserito nella lista nera i plug-in web Java 7 sui Mac imponendo una versione minima per il software, una versione che deve ancora essere rilasciata da Oracle.
IL nuova lista nera di Java 7 aggiornamento 11 - l'ultima versione disponibile - è la seconda volta in un mese che Apple utilizza il sistema anti-malware integrato in OS X per bloccare da remoto il software.
Non è chiaro il motivo per cui Apple abbia inserito nella lista nera l'ultimo aggiornamento Java. Tuttavia, ne consegue resoconto domenica scorsa che, nonostante gli sforzi di Oracle per rafforzare la sicurezza Java, l'ultima versione consente l'esecuzione di codice non firmato.
Quando Apple ha istituito il primo blocco Java a gennaio, la mossa è stata considerata insolita, in parte perché Apple ha solitamente utilizzato Xprotect per farlo bloccare malware come il diffuso Trojan Flashback per Mac nel 2011. Tuttavia, i gravi rischi posti dalle vulnerabilità zero-day nell'aggiornamento 10 di SE Java 7 hanno spinto Apple ad applicare Xprotect.
Leggi questo
Come disabilitare Java nel tuo browser su Windows, Mac
A causa di una grave falla di sicurezza nell'ultima versione di Java 7, dove persino il Dipartimento di Sicurezza Nazionale degli Stati Uniti ha avvertito gli utenti di disabilitare il plug-in, ecco come farlo.
Leggi oraA gennaio, Apple si è mossa per respingere gli attacchi che sfruttavano tali vulnerabilità aggiungendo "build 19" dell'aggiornamento 10 di Java 7, indicato con "1.7.0_10-b19", alla sua lista nera "Xprotect.plist". L'ultima build all'epoca era 1.7.0_10-b18, il che significa che i plug-in web Java 7 erano effettivamente inseriti nella lista nera fino a quando Oracle non ha rilasciato una versione che la sostituiva.
Quella versione è arrivata a metà gennaio quando Oracle ha rilasciato Java 7 aggiornamento 11, che soddisfaceva i requisiti minimi di Apple con Xprotect. Tuttavia, secondo i ricercatori della società di sicurezza Immunity, non ha risolto tutte le vulnerabilità.
Anche il Dipartimento per la Sicurezza Nazionale degli Stati Uniti ha invitato gli utenti di Internet a disattivare i plug-in Web Java nonostante l'ultimo aggiornamento.
Il nuovo blocco si applica al plugin per Java 7 update 11 versione 1.7.0_11-b22, che, come l'ultima volta, è una build in anticipo rispetto all'attuale versione 1.7.0_11-b21.
Dal momento che Il malware Flashback ha colpito gli utenti Apple, la società ha rilasciato a serie di aggiornamenti che allontanano Java dai suoi sistemi operativi più recenti. Affrontando le varianti di malware Flashback, Apple nell'aprile dello scorso anno disabilitato il plug-in Web Java in OS X Lion e dentro Ottobre ha rilasciato un aggiornamento che ha disinstallato il plug-in dell'applet Java fornito da Apple da tutti i browser Safari.