La nuova versione di Java avrebbe avuto l’obiettivo di risolvere il problema attuale di Log4Shell, ma a seguito del suo ultimo aggiornamento, invece di migliorare la situazione, ciò ha permesso agli hacker di trovare ulteriori brecce.
Quando pensavamo che tutto fosse stato risolto serenamente, in realtà, ci sbagliavamo senza ombra di dubbio. Infatti, l’update di Java che avrebbe dovuto migliorare il software e risolvere il bug di Log4Shell, ha soltanto peggiorato il tutto.
LEGGI ANCHE: Perchè Apple ha fermato temporaneamente la produzione di iPad ed iPhone
Qualcuno potrebbe pensare che sia uno scherzo o che, addirittura, sia un semplice errore di programmazione da parte degli sviluppatori, ma è chiaro che il seguente bug di patch non sia così tanto semplice da risolvere. Che cosa causerà questo problema?
I danni che provocherà
La falla generata dall’ultima versione per Java, non ha fatto altro che permette l’accesso a determinati comandi con alti privilegi su diversi server esterni. Per entrare in alcuni di questi è ovvio che dovremmo mantenere le applicazioni sempre aggiornate.
Motivo per cui molti hanno deciso di passare alla versione 2.15.0, lavorando ad un nuovo codice per la risoluzione definitiva del bug. L’update chiuderà una falla a sua volta vulnerabile a più aperture che, gli hacker, pare che stiano già sfruttando per eseguire alcuni attacchi informatici.
Questa patch, dunque, che avrebbe dovuto essere una chiave di salvezza, in realtà si è trasformata in un vero e proprio dilemma ancora più grande rispetto a prima. Ma la domanda che ci poniamo adesso, dunque, è la seguente: quali sono i nuovi rischi? Innanzitutto gli attacchi DDoS possono avvenire molto più facilmente e scatenare dei reboot davvero pericolosi, capaci di mettere in serio pericolo diversi sistemi di Java senza alcuna difficoltà.
E poi, sempre sullo stesso piano a livello di pericolosità, potranno persino scaricare – senza alcuna autorizzazione ovviamente – i dati di diversi utenti nei vari server a cui avranno la possibilità di accedere, e dato che in molti sono passati al nuovo aggiornamento, beh, non saranno poche le vittime dei loro attacchi.
Comunque sia gli sviluppatori sostengono che dovrebbe risolvere ogni problema, inclusa la disattivazione del Java Naming and Directory Interface dal momento che sia la causa principale di ogni errore registrato fino ad ora per Log4Shell. Ma sarebbe più sicuro, secondo alcuni, non aggiornare proprio Java. Questo perché la libreria in questione viene usata da una cerchia ristretta di programmatori, di conseguenza non ha alcun senso, per loro, passare alla prossima versione se non si è degli sviluppatori.
LEGGI ANCHE: Riconosciuta la falla 0-day in grado di compromettere una gran fetta di internet
Che possa essere una verità forse è così, però è innegabile che il problema debba essere risolto in ogni caso. Comunque sia, non ci rimane altro che sperare che i bug scompaiano definitivamente in modo tale che non possano avvenire eventuali attacchi hacker.
