Nova vulnerabilidade encontrada no Java: 1 bilhão de usuários afetados

Um novo dia, uma nova vulnerabilidade é encontrada no Java. Mas diferente da falha relatada no mês passado, a nova parece ser um pouco mais séria. Segundo a empresa que a descobriu, chamada Security Explorations, a falha afeta todos os navegadores atuais com o plugin do Java nas versões 5, 6 e 7. Eles afirmam que todos os 1 bilhão de usuários do plugin estão vulneráveis.

Especificamente, a empresa cita que as versões Java SE 5 Update 22, Java SE 6 Update 35 e Java SE 7 Update 7 (que são as mais recentes) contém a vulnerabilidade. A falha permite driblar uma restrição de segurança da máquina virtual de Java, a conhecida sandbox, o que abre a possibilidade de execução de códigos maliciosos no computador.

Os testes foram executados com o Windows 7 de 32 bits e nas versões mais recentes (e estáveis) dos navegadores Firefox, Chrome, Opera, Internet Explorer e Safari, e em todos a vulnerabilidade estava presente. Isso não quer dizer, no entanto, que outros sistemas não estão vulneráveis – Adam Gowdiak, o CEO da empresa e pesquisador que divulgou a descoberta, diz que outros sistemas operacionais, tanto de 32 quanto de 64 bits, estão vulneráveis.

Assim como a falha mais recente, a recomendação aqui é mesmo desativar o plugin caso você não use. A Oracle, que mantém o Java, ainda não teve tempo de liberar uma correção de segurança, já que a existência da vulnerabilidade foi divulgada ainda hoje. A firma não diz se já viu na web algum ataque explorando essa falha e estima que a Oracle só vai corrigi-la no dia 16 de outubro, que é a data em que está agendada a próxima atualização.

Com informações: ComputerWorld.

Fonte: TecnoBlog

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *