Correção emergencial do Java acaba de ser lançada


Brecha está sendo explorada por sites maliciosos na internet.
Segundo pesquisadores, empresa sabia do erro há 4 meses

A Oracle, responsável pelo desenvolvimento do Java Runtime Environment (JRE), software necessário para executar aplicativos programados na linguagem Java, disponibilizou uma atualização para o JRE com o objetivo de eliminar vulnerabilidades graves na segurança do programa. O Java 7 atualização 7 está disponível no site Java.com (clique aqui para acessar).

Ataques usando a falha do Java foram identificados no domingo (26) por pesquisadores da companhia de segurança FireEye. Para tirar proveito do problema, um hacker só precisava que um internauta visitasse uma página de internet. A página seria então capaz de executar o Java, burlar as proteções de segurança e instalar vírus no PC da vítima, independentemente da plataforma ou navegador web.

Inicialmente restritos, os ataques usando a falha do Java se popularizaram durante a semana. Especialistas em segurança verificaram que o código para explorar a falha do Java foi incluído no Blackhole, um “kit” de ataque usado por criminosos. Links para páginas maliciosas começaram a chegar por e-mail.

A vulnerabilidade está na forma que o Java gerencia as permissões do “sandbox” (caixa de areia). O sandbox é utilizado para restringir as funções de programas em Java que executam dentro de páginas web (chamados de “applets”). Se um applet conseguir escapar do sandbox, ele não é diferente de um programa completo e pode realizar tarefas como ler e roubar arquivos pessoais, ou baixar e instalar praga digitais – atividades que não são permitidas a página de internet.

Poucos sites na internet dependem da tecnologia de applets para funcionar, o que levou especialistas da “DeepEnd Research” e do site “The H” a recomendar que o Java seja desativado no navegador.

Múltiplas falhas
Para conseguir explorar o Java, o código usado tirava proveito de duas falhas que, juntas, permitiam escapar completamente das restrições no sandbox.

Segundo o pesquisador de segurança Adam Gowdiak, a Oracle teria sido comunicada sobre essas falhas em abril. Gowdiak teria comunicado outras 23 falhas no Java, num total de 25. Ele revelou que a empresa já teria corrigido 19 dessas falhas, incluindo as que estavam sendo exploradas. No entanto, nenhuma atualização com essas correções havia sido disponibilizada.

De acordo com um documento técnico da Oracle, apenas três falhas de segurança foram consertadas na atualização. Gowdiak aparece na seção de agradecimentos do documento, junto de James Forshaw, por compartilhar informações sobre as brechas, que confirma o conhecimento do pesquisador sobre essas falhas.

As informações indicariam que ainda existem muitas falhas não corrigidas no Java e que a Oracle tem conhecimento. A próxima atualização programada do Java está marcada para o dia 16 de outubro.

Se você não tem certeza de que o Java esteja instalado na sua máquina, basta testá-la clicando aqui.

Agradeço ao Davi, amigo e colaborador  deste site, pela referência a esta notícia.

Fonte: G1

Os comentários estão desativados.

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 486 outros seguidores

%d blogueiros gostam disto: