Oracle libera pacote com várias correções para o Java

JavaA Oracle liberou um pacote de correções de segurança. Ao todo, 276 ameaças foram consertadas nessa atualização. Do total, estima-se que 159 podem acessar sistemas remotamente, sem a necessidade de autenticação. No topo da lista estão patches para Java, que corrigem 13 vulnerabilidades. Essa frente é destacada como prioritária, pois muitas aplicações usam a plataforma, instalada em um grande número de sistemas.

“Usuários realmente precisam rodar essas correções do Java CPU (Critical Patch Update) o quanto antes”, afirmou John Matthew Holt, CTO da companhia de segurança de aplicações Waratek. De acordo com a Oracle, parte desses patches requerem ainda maior urgência e atenção, por exemplo, o de máquinas virtuais para servidores e desktops HotSpot Java, que recebeu alta pontuação do CVSS (Common Vulnerabilities Scoring System).

O Oracle Database Server recebeu correções para nove vulnerabilidades, uma elencada como crítica. Enquanto isso, o Oracle MySQL database recebeu correções para 22 novas questões de segurança, das quais quatro com alto grau de severidade.

Os produtos e componentes do Fusion Middleware receberam um total de 35 correções, cinco apontadas como críticas. Já a suíte de sistemas Sun recebeu 34 patches, cinco consertam pontos no Solaris OS e switches de rede que podem ser acessadas remotamente.

Há ainda correções especificas para produtos como o Oracle Supply Chain, Oracle Communications, Oracle Banking Platform, Oracle Financial Services Applications, Health Sciences, Oracle Insurance Applications, Oracle Utilities Applications, além de outras ferramentas para o varejo. A recomendação da Oracle é que essas correções sejam instaladas o quanto antes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Oracle: grande correção de falhas de segurança

JavaA Oracle anunciou na última terça-feira (19) uma atualização contendo 136 correções para vulnerabilidades de segurança em seus produtos. Segundo um comunicado, as correções foram aplicadas em 49 produtos da empresa, incluindo o Database Server, Java, MySQL, E-Business Suite e Solaris. O patch é o primeiro da companhia a utilizar o Common Vulnerability Scoring Standard (CVSS) 3.0 em vez do antigo sistema CVSS 2.0.

Ao utilizar a nova versão do CVSS, a norte-americana consegue identificar a severidade de algumas ameaças e quais devem ser priorizadas. A atualização inclui correções para cinco questões no banco de dados Oracle Server, dois dos quais podem ser explorados remotamente sem autenticação. As falhas encontradas e definidas como críticas ou de alto risco estão presentes no Database Server, Enterprise Manager Grid Control, Middleware, E-Business Suite, Supply Chain Products Suite, Financial Services Software, Sun Systems Products, PeopleSoft Products, Virtualization, Berkeley DB, MySQL e Java SE.

Em março, a empresa lançou um patch de emergência para o Java, que corrigiu uma falha de segurança que permitia que atacantes executassem códigos remotamente sem a necessidade de credenciais de usuários, levando a um potencial sistema de hijacking e roubos de dados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Oracle libera correção de segurança emergencial para o Java

JavaA Oracle liberou uma atualização de emergência para o Java SE que corrige uma vulnerabilidade crítica detectada em 2013. A empresa correu para corrigir o problema após a empresa Security Explorations revelar que uma correção liberada em 2013 (CVE-2013-5838), que supostamente corrigia a vulnerabilidade tratada agora, era ineficiente, podendo ser trivialmente contornada. E que, portanto, continuava explorável nas últimas versões do Java.

A vulnerabilidade afeta o Java SE em execução em navegadores web em desktops (Windows e outras plataformas). A vulnerabilidade não é aplicável a implementações de Java em servidores ou em aplicações standalone. Ela também não afeta software baseados em servidores Oracle.

A empresa aconselha os usuários a instalarem as novas atualizações do Java o mais rápido possível por causa da gravidade da falha e “da divulgação pública de detalhes técnicos”.

De acordo com Oracle, a vulnerabilidade pode ser explorada remotamente sem autenticação, ou seja, pode ser explorada através de uma rede sem a necessidade de um nome de usuário e senha. Basta que o usuário navegue em uma página web maliciosa.

Os usuários do Windows podem baixar a versão mais recente do http://java.com, ou usar as atualizações automáticas para obter a versão mais recente.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Oracle anuncia o término do plugin Java

java-apple

Nessa quarta-feira, 27, a Oracle divulgou um curto comunicado que deixou o mercado de tecnologia pessoa empolgado: a esperada morte do plugin do Java. A empresa explicou que, como muitas marcas de navegador anunciaram que acabarão com a possibilidade de se instalar plugins nos seus produtos, não faz sentido manter o do Java.

Assim, no JDK 9 – o kit de desenvolvimento Java -, este que é um dos plugins mais criticados por especialistas em segurança virá desativado como preparação para sua desativação completa, que, segundo a Oracle, ocorrerá em alguma atualização futura.

É fácil entender por que a plataforma ficou tão indesejada, basta uma busca no Olhar Digital para encontrar inúmeros casos em que falhas no plugin provocaram ciberataques. A Oracle até tomou uma bronca pública nos Estados Unidos por tentar fazer com que o Java parecesse mais seguro do que realmente é.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Oracle passa a alertar que Java é vulnerável

JavaOs usuários do Java vão passar a receber avisos de que poderão ser expostos a malware devido a falhas existentes no código do software ou nos plugins.

A FTC, dos EUA, obrigou a Oracle a ter de avisar aos internautas de que o Java é potencialmente perigoso. Ao deixar essa indicação, a empresa evita multas das autoridades dos EUA, embora não tenha admitido abertamente que existam vulnerabilidades específicas que motivem o alerta.

A queixa da FTC explica que a Oracle sabia dos problemas de segurança do Java SE quando o comprou à Sun, em 2010. A exploração de vulnerabilidades no Java faz com que crackers consigam acesso à informação sensível dos usuários, como logins e senhas ou mesmo dados financeiros, explica a BBC.

A FTC alega que, mesmo com as atualizações constantes, a Oracle não está conseguindo manter o Java livre de ameaças, pelo que os consumidores devem ser alertados para esse risco. O Java SE está instalado em mais de 850 milhões de computadores, mas nem todos estão atualizados com a versão mais recente do software. Além disso, o processo de atualizações originais da Sun era cumulativo, não apagando as versões anteriores, o que deixava portas abertas aos malfeitores.

O alerta que for enviado agora traz também o link que poderá ser acessado pelos usuários para conseguirem fazer o download da versão mais recente bem como a desinstalação de versões mais antigas do Java.

O Java é usado para acessar jogos baseados no navegador, calculadoras, chats e outras ferramentas, mas é considerado uma das três aplicações mais visadas pelos cibercriminosos que os possibilita o acesso às máquinas das vítimas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Oracle corrige várias falhas do Java

JavaEm seu patch mais recente, a Oracle consertou 25 falhas do Java, incluindo uma que já era explorada em ataques. A empresa liberou o Update 51 para Java 8, o Update 85 para Java 7 e o Update 101 para Java 6, dos quais apenas o primeiro é público, já que o suporte para as versões anteriores se esgotou há alguns anos e está disponível apenas a clientes com contratos de extensão. Entre os reparos, um é específico à plataforma Mac e quatro são para o Java Secure Socket Extension (JSSE), informou Eric Maurice, diretor de segurança de software da Oracle.

Além da linguagem de programação, a companhia também atualizou uma gama de outros produtos, como Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Communications Applications, Oracle Java SE, Oracle Sun Systems Products Suite, Oracle Linux and Virtualization e Oracle MySQL. Ao todo, 193 vulnerabilidades foram reparadas, das quais 44 eram decorrentes de componentes externos.

Das 25 falhas corrigidas na plataforma, 23 podem ser exploradas remotamente sem a necessidade de autenticação, com 16 vulnerabilidades afetando somente a implementação para clientes e 5 atingindo a implementação de clientes e servidores.

A atualização reparou a falha CVE-2015-2590, que possuía status de dia-zero, ou seja, era explorada por agressores enquanto não era disponibilizada uma solução. Ela foi descoberta por pesquisadores da Trend Micro em ataques que às forças armadas de um país membro da OTAN não identificado e às defesas dos Estados Unidos.

As agressões foram promovidas pelo grupo de ciberespionagem conhecido como Pawn Storm ou APT28, supostamente ligado ao serviço secreto russo. Ativo desde 2007, ele costuma se focar em organizações militares, midiáticas e governamentais.

Embora o Java ainda seja muito usado em aplicações Web de ambientes corporativos, raramente é encontrado em sites voltados ao consumidor, eliminando a necessidade do plug-in na maioria dos navegadores de usuários finais, alvos da maioria das explorações da plataforma.

É possível realizar a remoção e a inabilitação manual do Java nos navegadores instalados em um computador, mas o plug-in pode ser reabilitado automaticamente em sua próxima atualização. Desinstalá-lo do sistema costuma ser inviável, pois algumas aplicações ainda o exigem.

Felizmente, a Oracle adicionou uma opção no painel de controle da plataforma que serve de central para a inabilitação do suporte a conteúdo baseado em Java nos navegadores.

As empresas que dependem do suporte Java para a Web terão mais trabalho para se defenderem das explorações de dia-zero, mas algumas opções já reduzem a probabilidade de ataque. O Internet Explorer, por exemplo, possui uma ferramenta que permite aos administradores restringirem os sites com permissão de carregar conteúdo Java, enquanto o Mozilla Firefox e Google Chrome oferecem a opção de clicar para reprodução, usada para prevenir a execução automática de conteúdo baseado na linguagem de programação.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Oracle irá encerrar suporte ao Java para o Windows XP

oracle_winxpA Oracle anunciou nos últimos dias que vai terminar o suporte do Java para o Windows XP. Ou seja, o plugin vai continuar funcionando normalmente nos computadores que usam o antigo sistema operacional da Microsoft, mas correções de falhas e bugs não serão lançadas para ele no futuro.

A decisão foi tomada após a Microsoft encerrar o suporte para o Windows XP. Os usuários que ainda utilizam o sistema vão poder instalar e usar o plugin e também vão receber outros tipos de atualizações, garantiu o vice presidente de gerenciamento de produtos de Java da Oracle, Henrik Stahl.

A única diferença, ressalta, é que a empresa vai parar de corrigir eventuais falhas – incluindo de seguranças -que afetam apenas o sistema operacional, focando em correções para outras plataformas. “Nós esperamos que todas as versões do Java que eram suportadas antes do anúncio da Microsoft continuem funcionando no Windows XP”, garante.

As mudanças afetam apenas a versão 7 do Java, já que a versão 8 não foi projetada para ser usada no Windows XP, embora possa ser instalada por métodos não convencionais. A Oracle recomenda que os usuários atualizem seus sistemas antes de tentarem instalar o Java 8 nestes computadores.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo