Página Inicial



twitter

Facebook

  Notícia
|

 

PATCH DE SEGURANÇA DO JAVA TEM FALHA DETECTADA LOGO APÓS LIBERAÇÃO

03/09/2012

 

Pesquisadores em segurança da Security Explorations descobriram uma vulnerabilidade na atualização de segurança do Java 7 algumas horas depois de ser liberada na quinta-feira (30/8). A falha pode ser explorada a fim de contornar a segurança da sandbox do aplicativo e executar códigos arbitrários no sistema subjacente.

A Security Explorations enviou um relatório sobre a vulnerabilidade à Oracle na sexta-feira, juntamente com um exploit prova-de-conceito, segundo Adam Gowdiak, fundador e CEO da empresa de segurança. Ele não quis dar mais detalhes técnicos sobre a ameaça até que a Oracle se pronuncie sobre o assunto.

De acordo com Gowdiak, a Security Explorations relatou 29 vulnerabilidades no Java 7 em abril, incluindo duas ativamente exploradas por crackers.

A companhia saiu do seu ciclo regular de atualização de quatro meses para liberar o Java 7 Update 7, atualização de segurança de emergência que abordou três vulnerabilidades, incluindo duas que estavam sendo exploradas por crackers para infectar computadores com malware desde a semana passada.

Além dessas, a empresa também corrigiu um "problema de segurança profundo", que, de acordo com a Oracle, não era diretamente explorável, mas poderia ser usada para agravar o impacto de outras vulnerabilidades.

A remoção dos métodos GetField e getMethod da implementação do sun.awt.SunToolkit na atualização desativou todos os exploits. No entanto, isso só aconteceu porque o "vetor exploração" foi removido e não porque todas as vulnerabilidades foram corrigidas, segundo Gowdiak. A nova vulnerabilidade pode ser combinada com algumas das falhas deixadas sem correção para conseguir pleno desvio da sandbox novamente.

Gowdiak não sabe quando a Oracle planeja eliminar as vulnerabilidades restantes relatadas pela Security Explorations em abril ou a nova falha apresentada na sexta-feira. Também não está claro se a Oracle vai lançar uma nova atualização de segurança Java em Outubro, como previsto anteriormente.

Ainda segundo o especialista, a atualização de segurança Java 6 seria mais eficaz que a 7. Gowdiak ecoou o que muitos pesquisadores de segurança já disseram antes: se você não precisa de Java, desinstale-o de seu sistema. Companhias como a Microsoft, Mozilla, F-Secure, Sophos e Kaspersky também orientaram seus usuários a fazerem o mesmo.

 
 
Fonte: Olhar Digital

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar