Patch de segurança do Java tem falha detectada logo após liberação

Pesquisadores em segurança da Security Explorations descobriram uma vulnerabilidade na atualização de segurança do Java 7 algumas horas depois de ser liberada na quinta-feira (30/8). A falha pode ser explorada a fim de contornar a segurança da sandbox do aplicativo e executar códigos arbitrários no sistema subjacente.
A Security Explorations enviou um relatório sobre a vulnerabilidade à Oracle na sexta-feira, juntamente com um exploit prova-de-conceito, segundo Adam Gowdiak, fundador e CEO da empresa de segurança. Ele não quis dar mais detalhes técnicos sobre a ameaça até que a Oracle se pronuncie sobre o assunto.
De acordo com Gowdiak, a Security Explorations relatou 29 vulnerabilidades no Java 7 em abril, incluindo duas ativamente exploradas por crackers.
A companhia saiu do seu ciclo regular de atualização de quatro meses para liberar o Java 7 Update 7, atualização de segurança de emergência que abordou três vulnerabilidades, incluindo duas que estavam sendo exploradas por crackers para infectar computadores com malware desde a semana passada.
Além dessas, a empresa também corrigiu um “problema de segurança profundo”, que, de acordo com a Oracle, não era diretamente explorável, mas poderia ser usada para agravar o impacto de outras vulnerabilidades.
A remoção dos métodos GetField e getMethod da implementação do sun.awt.SunToolkit na atualização desativou todos os exploits. No entanto, isso só aconteceu porque o “vetor exploração” foi removido e não porque todas as vulnerabilidades foram corrigidas, segundo Gowdiak. A nova vulnerabilidade pode ser combinada com algumas das falhas deixadas sem correção para conseguir pleno desvio da sandbox novamente.
Gowdiak não sabe quando a Oracle planeja eliminar as vulnerabilidades restantes relatadas pela Security Explorations em abril ou a nova falha apresentada na sexta-feira. Também não está claro se a Oracle vai lançar uma nova atualização de segurança Java em Outubro, como previsto anteriormente.
Ainda segundo o especialista, a atualização de segurança Java 6 seria mais eficaz que a 7. Gowdiak ecoou o que muitos pesquisadores de segurança já disseram antes: se você não precisa de Java, desinstale-o de seu sistema. Companhias como a MicrosoftMozillaF-Secure,Sophos Kaspersky também orientaram seus usuários a fazerem o mesmo.
Via: IDG Now
Anúncios
Esse post foi publicado em JAVA, NOTÍCIAS, SEGURANÇA. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s