Resultados 1 a 5 de 5
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,012

    Nova vulnerabilidade Java: 1 bilhão de computadores em risco

    A nova falha, descoberta por pesquisadores de uma firma polonesa de segurança de sistemas, existe em todas as versões Java suportadas e coloca em risco todos os sistemas operacionais e todos os navegadores. Supostamente aplicações Java poderiam executar fora do "sandbox". A Oracle, atual proprietaria da linguagem, foi alertada da vulnerabilidade no mês passado. A expectativa é que uma nova versão Java com a falha de segurança corrigida seja liberada pela Oracle em 16 de outubro.


    1 Billion computers at risk from Java exploit | Fox News

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,012
    Última edição por 5ms; 27-09-2012 às 14:00.

  3. #3
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106

    Vulnerabilidade crítica no Java pode afetar um bilhão de Macs e PCs

    Um pesquisador de segurança conhecido por encontrar bugs no ambiente Java descobriu uma nova vulnerabilidade crítica (zero-day) que afeta todas as versões atualmente suportadas do popular software da Oracle.

    O bug foi reportado publicamente na lista de discussão de segurança FullDisclosure nesta terça-feira por Adam Gowdiak, fundador e CEO da empresa polonesa de segurança Security Explorations, e pode ser usado para assumir o controle de uma máquina com Java, permitindo que malfeitores instalem malware no sistema.

    PCs com Windows e Macs correm o mesmo risco caso tenham o Java instalado ou, no caso dos Macs, rodem a versão 10.6 (SnowLeopard) ou anterior do sistema operacional, que traz o ambiente Java pré-instalado. Todas as versões atualmente suportadas do Java, incluindo a 5, 6 e 7, são afetadas pelo bug.

    Gowdiak já encontrou outras vulnerabilidades no Java no passado. No início deste ano ele reportou mais de uma dúzia delas para a Oracle. Meses depois, hackers descobriram independentemente um dos bugs, e começaram a usá-lo em ataques em grande escala em Agosto. Em 30 de Agosto a Oracle liberou uma rara atualização de segurança “fora de época” (out ofband) para corrigir o bug.

    Mas a vulnerabilidade descoberta por Gowdiak na terça-feira é potencialmente mais séria que a falha já explorada e, no momento, apresenta menos risco aos usuários.

    “O impacto potencial é maior quando consideramos o número de sistemas vulneráveis”, disse Gowdiak em um e-mail respondendo à questões sobre a falha. “O bug afeta cópias atualizadas do Java 5, 6 e 7. Testamos até mesmo o DeveloperPreview do Java 7 Update 10, lançado em 20 de Setembro, e verificamos que também é vulnerável”.

    A falha “zero-day” explorada pelos criminosos no mês passado afetava apenas o Java 7, a mais nova versão do software, e por causa disso Gowdiak e outros especialistas recomendaram que os usuários fizessem o “downgrade” para o Java 6, que é seguro. Não é o caso agora, já que todas as versões do Java contém a falha.

    Gowdiak, usando estatísticas de base instalada citadas pela Oracle, argumentou que aproximadamente um bilhão de usuários estão em perigo por causa da nova vulnerabilidade.
    Por outro lado, há muito menos urgência na correção da falha em relação ao mês passado, simplesmente porque não há evidência de que ela esteja sendo explorada por hackers. “Não estamos cientes de nenhum ataque ativo que explore esta vulnerabilidade”, disse Gowdiak.

    Gowdiak disse que encontrou a nova falha no Java na semana passada - e levou o fim de semana para criar e testar um software para explorar e provar o conceito - mas só a reportou à Oracle na terça-feira. Em um e-mail para a Computerworld, Gowdiak disse que “acabamos de receber confirmação do problema por parte da Oracle”.

    A empresa também lhe disse que o bug será corrigido em uma futura atualização de segurança do Java, mas não informou qual. A próxima, segundo o cronograma da Oracle, será em 16 de Outubro.

    Este foi um dos vários motivos usados por Gowdiak para explicar por que veio a público com a falha - embora sem os detalhes técnicos - em vez de reportá-la de forma privada à Oracle e aguardar por uma correção. “Ainda temos três semanas até a próxima atualização programada, então pode ser possível que a Oracle corrija a falha a tempo”, disse ele.

    Gowdiak também disse que “era simplesmente nossa obrigação avisar propriamente os usuários”, especialmente frente às recomendações no mês passado de um downgrade do Java 7 para o Java 6.

    O fato de que o Java 6 é vulnerável é de especial interesse para qualquer um usando um Mac com o OS X 10.6 (SnowLeopard) ou OS X 10.5 (Leopard). Estas versões do sistema trazem o Java embutido, o que não acontece a partir da versão 10.7. Se hackers encontrarem a por conta própria a vulnerabilidade relatada por Gowdiak, e a explorarem antes que uma correção seja lançada, usuários destas duas versões do Mac OS X estarão vulneráveis, bem como usuários do Lion e Mountain Lion que tenham instalado o Java separadamente.

    A publicidade gerada pela nova falha “zero-day” - relatada por vários veículos de imprensa - irá colocar pressão sobre a Oracle para que aja rapidamente, um motivo frequentemente citado por pesquisadores de segurança que anunciam a existência de uma falha antes que uma correção esteja disponível.

    Gowdiak também tem uma resposta para isso: “Fazemos anúncios públicos para que os usuários estejam cientes dos riscos associados a certo software ou tecnologia, e que possam planejar suas ações de acordo”, disse ele. Ele também se recusou a divulgar mais informações sobre a falha além da vaga descrição na mensagem postada na lista de discussão FullDisclosure.

    O pesquisador confirmou que sua prova de conceito também funciona contra os plugins Java usados nas versões atuais dos navegadores Chrome, Firefox, Internet Explorer 9, Opera e Safari no Windows 7. Como praticamente todo profissional de segurança faz sempre que uma vulnerabilidade é exposta, Gowdiak pede que os usuários desabilitem com urgência o plugin em seus navegadores, até que a Oracle lance uma correção.

    Instruções para desabilitar o Java nos principais navegadores podem ser encontradas no site da US-CERT (United States Computer EmergencyReadiness Team).

    link: TI Rio
    Siga-nos em nosso twitter: @wht_brasil

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,012
    Só para registrar, na matéria publicada pela Fox:

    This latest flaw is worse in that it leaves all supported versions of Java (Java 5, 6 and 7) on most desktop platforms (Windows, Mac, Linux and Solaris) vulnerable to criminals.

  5. #5
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    e ate agora nenhum correção?
    Siga-nos em nosso twitter: @wht_brasil

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •