Oracle libera pacote com várias correções para o Java

JavaA Oracle liberou um pacote de correções de segurança. Ao todo, 276 ameaças foram consertadas nessa atualização. Do total, estima-se que 159 podem acessar sistemas remotamente, sem a necessidade de autenticação. No topo da lista estão patches para Java, que corrigem 13 vulnerabilidades. Essa frente é destacada como prioritária, pois muitas aplicações usam a plataforma, instalada em um grande número de sistemas.

“Usuários realmente precisam rodar essas correções do Java CPU (Critical Patch Update) o quanto antes”, afirmou John Matthew Holt, CTO da companhia de segurança de aplicações Waratek. De acordo com a Oracle, parte desses patches requerem ainda maior urgência e atenção, por exemplo, o de máquinas virtuais para servidores e desktops HotSpot Java, que recebeu alta pontuação do CVSS (Common Vulnerabilities Scoring System).

O Oracle Database Server recebeu correções para nove vulnerabilidades, uma elencada como crítica. Enquanto isso, o Oracle MySQL database recebeu correções para 22 novas questões de segurança, das quais quatro com alto grau de severidade.

Os produtos e componentes do Fusion Middleware receberam um total de 35 correções, cinco apontadas como críticas. Já a suíte de sistemas Sun recebeu 34 patches, cinco consertam pontos no Solaris OS e switches de rede que podem ser acessadas remotamente.

Há ainda correções especificas para produtos como o Oracle Supply Chain, Oracle Communications, Oracle Banking Platform, Oracle Financial Services Applications, Health Sciences, Oracle Insurance Applications, Oracle Utilities Applications, além de outras ferramentas para o varejo. A recomendação da Oracle é que essas correções sejam instaladas o quanto antes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Oracle: grande correção de falhas de segurança

JavaA Oracle anunciou na última terça-feira (19) uma atualização contendo 136 correções para vulnerabilidades de segurança em seus produtos. Segundo um comunicado, as correções foram aplicadas em 49 produtos da empresa, incluindo o Database Server, Java, MySQL, E-Business Suite e Solaris. O patch é o primeiro da companhia a utilizar o Common Vulnerability Scoring Standard (CVSS) 3.0 em vez do antigo sistema CVSS 2.0.

Ao utilizar a nova versão do CVSS, a norte-americana consegue identificar a severidade de algumas ameaças e quais devem ser priorizadas. A atualização inclui correções para cinco questões no banco de dados Oracle Server, dois dos quais podem ser explorados remotamente sem autenticação. As falhas encontradas e definidas como críticas ou de alto risco estão presentes no Database Server, Enterprise Manager Grid Control, Middleware, E-Business Suite, Supply Chain Products Suite, Financial Services Software, Sun Systems Products, PeopleSoft Products, Virtualization, Berkeley DB, MySQL e Java SE.

Em março, a empresa lançou um patch de emergência para o Java, que corrigiu uma falha de segurança que permitia que atacantes executassem códigos remotamente sem a necessidade de credenciais de usuários, levando a um potencial sistema de hijacking e roubos de dados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Oracle libera correção de segurança emergencial para o Java

JavaA Oracle liberou uma atualização de emergência para o Java SE que corrige uma vulnerabilidade crítica detectada em 2013. A empresa correu para corrigir o problema após a empresa Security Explorations revelar que uma correção liberada em 2013 (CVE-2013-5838), que supostamente corrigia a vulnerabilidade tratada agora, era ineficiente, podendo ser trivialmente contornada. E que, portanto, continuava explorável nas últimas versões do Java.

A vulnerabilidade afeta o Java SE em execução em navegadores web em desktops (Windows e outras plataformas). A vulnerabilidade não é aplicável a implementações de Java em servidores ou em aplicações standalone. Ela também não afeta software baseados em servidores Oracle.

A empresa aconselha os usuários a instalarem as novas atualizações do Java o mais rápido possível por causa da gravidade da falha e “da divulgação pública de detalhes técnicos”.

De acordo com Oracle, a vulnerabilidade pode ser explorada remotamente sem autenticação, ou seja, pode ser explorada através de uma rede sem a necessidade de um nome de usuário e senha. Basta que o usuário navegue em uma página web maliciosa.

Os usuários do Windows podem baixar a versão mais recente do http://java.com, ou usar as atualizações automáticas para obter a versão mais recente.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Oracle passa a alertar que Java é vulnerável

JavaOs usuários do Java vão passar a receber avisos de que poderão ser expostos a malware devido a falhas existentes no código do software ou nos plugins.

A FTC, dos EUA, obrigou a Oracle a ter de avisar aos internautas de que o Java é potencialmente perigoso. Ao deixar essa indicação, a empresa evita multas das autoridades dos EUA, embora não tenha admitido abertamente que existam vulnerabilidades específicas que motivem o alerta.

A queixa da FTC explica que a Oracle sabia dos problemas de segurança do Java SE quando o comprou à Sun, em 2010. A exploração de vulnerabilidades no Java faz com que crackers consigam acesso à informação sensível dos usuários, como logins e senhas ou mesmo dados financeiros, explica a BBC.

A FTC alega que, mesmo com as atualizações constantes, a Oracle não está conseguindo manter o Java livre de ameaças, pelo que os consumidores devem ser alertados para esse risco. O Java SE está instalado em mais de 850 milhões de computadores, mas nem todos estão atualizados com a versão mais recente do software. Além disso, o processo de atualizações originais da Sun era cumulativo, não apagando as versões anteriores, o que deixava portas abertas aos malfeitores.

O alerta que for enviado agora traz também o link que poderá ser acessado pelos usuários para conseguirem fazer o download da versão mais recente bem como a desinstalação de versões mais antigas do Java.

O Java é usado para acessar jogos baseados no navegador, calculadoras, chats e outras ferramentas, mas é considerado uma das três aplicações mais visadas pelos cibercriminosos que os possibilita o acesso às máquinas das vítimas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Falha em Java deixa milhares de apps vulneráveis

javasecUma biblioteca de componentes de software Java, a Apache Commons, apresenta uma vulnerabilidade grave. Descoberta há mais de nove meses, ela continua a colocar milhares de aplicações Java e servidores em risco a ataques de execução remota de código.

A falha afeta o conjunto amplamente utilizado e mantido pela Apache Software Foundation. A biblioteca é usada de forma padrão em vários servidores de aplicações Java e outros produtos, incluindo o Oracle WebLogic, IBM WebSphere, JBoss, Jenkins e OpenNMS.

O problema está no componente Collections e decorre da “des-serialização” insegura de objetos Java. Na linguagem de programação, a serialização é o processo de conversão de dados para um formato binário, visando armazená-los num ficheiro ou memória, ou o seu envio através de redes.

A vulnerabilidade foi revelada numa conferência de segurança em Janeiro de 2015, pelos pesquisadores Chris Frohoff e Gabriel Lawrence, mas não recebeu muita atenção. Possivelmente porque muitas pessoas acreditam que a responsabilidade pela prevenção de ataques de “des-serialização” é dos programadores de aplicações Java e não dos criadores da biblioteca.

“Não acho que a culpa esteja na biblioteca [ou de quem a mantém], embora pudessem haver melhorias”, disse Carsten Eiram, diretor de investigação da empresa de inteligência sobre vulnerabilidades Risk Based Security. “No fim do dia, a entrada de dados pouco confiáveis nunca deve ser cegamente ‘des-serializada’”.

Os programadores devem entender como uma biblioteca funciona e validar a entrada de informação, em vez de confiar ou esperar que a biblioteca o faça de forma segura.

A vulnerabilidade teve nova onda de exposição na última sexta-feira, após investigadores da FoxGlove Security terem revelado provas de conceito de possibilidades de exploração da falha no WebLogic, WebSphere, JBoss, Jenkins e OpenNMS.

Em resposta, a Oracle divulgou um alerta de segurança, na última terça-feira, contendo instruções temporárias de mitigação para o WebLogic Server. A empresa trabalha numa correção permanente.

Os programadores da Apache Commons Collections também estão corrigindo o problema.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Oracle corrige várias falhas do Java

JavaEm seu patch mais recente, a Oracle consertou 25 falhas do Java, incluindo uma que já era explorada em ataques. A empresa liberou o Update 51 para Java 8, o Update 85 para Java 7 e o Update 101 para Java 6, dos quais apenas o primeiro é público, já que o suporte para as versões anteriores se esgotou há alguns anos e está disponível apenas a clientes com contratos de extensão. Entre os reparos, um é específico à plataforma Mac e quatro são para o Java Secure Socket Extension (JSSE), informou Eric Maurice, diretor de segurança de software da Oracle.

Além da linguagem de programação, a companhia também atualizou uma gama de outros produtos, como Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Communications Applications, Oracle Java SE, Oracle Sun Systems Products Suite, Oracle Linux and Virtualization e Oracle MySQL. Ao todo, 193 vulnerabilidades foram reparadas, das quais 44 eram decorrentes de componentes externos.

Das 25 falhas corrigidas na plataforma, 23 podem ser exploradas remotamente sem a necessidade de autenticação, com 16 vulnerabilidades afetando somente a implementação para clientes e 5 atingindo a implementação de clientes e servidores.

A atualização reparou a falha CVE-2015-2590, que possuía status de dia-zero, ou seja, era explorada por agressores enquanto não era disponibilizada uma solução. Ela foi descoberta por pesquisadores da Trend Micro em ataques que às forças armadas de um país membro da OTAN não identificado e às defesas dos Estados Unidos.

As agressões foram promovidas pelo grupo de ciberespionagem conhecido como Pawn Storm ou APT28, supostamente ligado ao serviço secreto russo. Ativo desde 2007, ele costuma se focar em organizações militares, midiáticas e governamentais.

Embora o Java ainda seja muito usado em aplicações Web de ambientes corporativos, raramente é encontrado em sites voltados ao consumidor, eliminando a necessidade do plug-in na maioria dos navegadores de usuários finais, alvos da maioria das explorações da plataforma.

É possível realizar a remoção e a inabilitação manual do Java nos navegadores instalados em um computador, mas o plug-in pode ser reabilitado automaticamente em sua próxima atualização. Desinstalá-lo do sistema costuma ser inviável, pois algumas aplicações ainda o exigem.

Felizmente, a Oracle adicionou uma opção no painel de controle da plataforma que serve de central para a inabilitação do suporte a conteúdo baseado em Java nos navegadores.

As empresas que dependem do suporte Java para a Web terão mais trabalho para se defenderem das explorações de dia-zero, mas algumas opções já reduzem a probabilidade de ataque. O Internet Explorer, por exemplo, possui uma ferramenta que permite aos administradores restringirem os sites com permissão de carregar conteúdo Java, enquanto o Mozilla Firefox e Google Chrome oferecem a opção de clicar para reprodução, usada para prevenir a execução automática de conteúdo baseado na linguagem de programação.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Novo Chrome v42 desativa plugins do Silverlight e Java por padrão

chrome_42O Google lançou na noite desta última terça-feira a versão 42 de seu navegador Chrome. E no pacote de mudanças está uma que pode pegar alguns usuários de surpresa: os plugins Silverlight, da Microsoft, e Java – este ainda hoje muito utilizado em sites de internet banking – vêm, pela primeira vez, desativados por padrão no programa.

A alteração é parte de um processo que deve acabar de vez com o suporte a add-ons baseados na velha NPAPI, uma API para plugins multiplataforma utilizada pela primeira vez na versão 2.0 do finado Netscape.

Essas mudanças foram anunciadas ainda em 2013 (e depois reforçadas em 2014), e visam melhorar a velocidade, a estabilidade e a segurança do navegador – o que não deixa de ter sentido, visto o número de falhas encontradas no Java nos últimos anos. As modificações ainda incluem a remoção desses add-ons da loja do Chrome e devem afetar o Unity Web Player.

Usuários que ainda precisarem das extensões ainda têm a opção de reativá-las, mas de uma forma uma pouco mais complicada do que a presente no Chrome 40. Em vez de clicar em uma notificação na barra de URL, é preciso acessar o endereço chrome://flags/#enable-npapi, clicar em Ativar dentro de Ativar NPAPI e depois reiniciar o programa.

Este procedimento, porém, deve ser eliminado de vez em setembro deste ano, assim como o suporte aos plugins baseados na API – algo que já acontece no Chromium para Linux desde a versão 35. Então, levando em conta que o programa domina o mercado de navegadores atualmente, talvez seja uma boa hora para começar a optar pelo HTML5 na hora de desenvolver algo, como fez a Netflix, ou trocar de browser, no caso de um usuário.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Info