Página Inicial



twitter

Facebook

  Notícia
|

 

ORACLE LANÇA CORREÇÃO URGENTE PARA FALHA DE SEGURANÇA DO JAVA

15/01/2013

A Oracle liberou correções de emergência para duas vulnerabilidades do Java no domingo (13/1). As ameaças representam um alto risco para os usuários que costumam navegar na web.

A rapidez com que a empresa liberou a atualização pode ter sido motivada porque dois kits de exploração já receberam o código para explorar ao menos uma das vulnerabilidades, a CVE-2013-0422. O mesmo pode ter ocorrido a códigos de ataque inseridos em sites que já possuem outras vulnerabilidades.

"A Oracle recomenda que esse alerta de segurança seja aplicado o mais rápido possível, porque essas brechas podem ser exploradas na rede e estão disponíveis em diversas ferramentas de hacking", escreveu o diretor de segurança da Oracle, Eric Oracle Maurice, no blog de segurança da empresa.

Ambas as vulnerabilidades poderiam permitir que usuários fossem atacados por um applet malicioso - uma aplicação Java que é baixada de outro servidor e funciona se o usuário tiver o Java instalado. Applets são embutidos em páginas da Web e executam no navegador.

Se um usuário acessar um site comprometido com um kit de exploração, um software malicioso pode ser baixado sem o conhecimento do usuário, tornando este um dos tipos mais perigosos de ataques.

As plataformas de software afetadas são qualquer sistema que utiliza o Java 7 (1.7, 1.7.0) por meio do Update 10, de acordo com um comunicado da US-CERT (United States Computer Emergency Readiness Team). Isso também inclui o Java Platform Standard Edition 7, Java SE Development Kit e Java SE Runtime Environment.

A vulnerabilidade está "em como o Java 7 restringe as permissões de applets, que permitem que um invasor execute comandos arbitrários no sistema vulnerável", disse a US-CERT.

O segundo patch corrige uma vulnerabilidade (CVE-2012-3174) no Java que roda em browsers, disse a Oracle. Ela também pode ser explorada remotamente, enganando os usuários para que eles acessem um site comprometido.

Maurice observou que as correções também mudarão a configuração de segurança do Java para "alto" por padrão.

"A configuração de ´alta segurança´ requer que o usuário autorize expressamente a execução de applets que não são assinados ou são autoassinados", escreveu ele. "Como resultado, os usuários desavisados ​​que visitam sites maliciosos serão previamente notificados de que um applet será executado, assim o usuário poderá negar a execução do applet potencialmente malicioso."
 
 
 
Fonte: PcWorld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar