A Oracle liberou correções de emergência para duas vulnerabilidades do Java no domingo (13/1). As ameaças representam um alto risco para os usuários que costumam navegar na web.

A rapidez com que a empresa liberou a atualização pode ter sido motivada porque dois kits de exploração já receberam o código para explorar ao menos uma das vulnerabilidades, a CVE-2013-0422. O mesmo pode ter ocorrido a códigos de ataque inseridos em sites que já possuem outras vulnerabilidades.

"A Oracle recomenda que esse alerta de segurança seja aplicado o mais rápido possível, porque essas brechas podem ser exploradas na rede e estão disponíveis em diversas ferramentas de hacking", escreveu o diretor de segurança da Oracle, Eric Oracle Maurice, no blog de segurança da empresa.

Ambas as vulnerabilidades poderiam permitir que usuários fossem atacados por um applet malicioso - uma aplicação Java que é baixada de outro servidor e funciona se o usuário tiver o Java instalado. Applets são embutidos em páginas da Web e executam no navegador.

Se um usuário acessar um site comprometido com um kit de exploração, um software malicioso pode ser baixado sem o conhecimento do usuário, tornando este um dos tipos mais perigosos de ataques.

As plataformas de software afetadas são qualquer sistema que utiliza o Java 7 (1.7, 1.7.0) por meio do Update 10, de acordo com um comunicado da US-CERT (United States Computer Emergency Readiness Team). Isso também inclui o Java Platform Standard Edition 7, Java SE Development Kit e Java SE Runtime Environment.

A vulnerabilidade está "em como o Java 7 restringe as permissões de applets, que permitem que um invasor execute comandos arbitrários no sistema vulnerável", disse a US-CERT.

O segundo patch corrige uma vulnerabilidade (CVE-2012-3174) no Java que roda em browsers, disse a Oracle. Ela também pode ser explorada remotamente, enganando os usuários para que eles acessem um site comprometido.

Maurice observou que as correções também mudarão a configuração de segurança do Java para "alto" por padrão.

"A configuração de 'alta segurança' requer que o usuário autorize expressamente a execução de applets que não são assinados ou são autoassinados", escreveu ele. "Como resultado, os usuários desavisados que visitam sites maliciosos serão previamente notificados de que um applet será executado, assim o usuário poderá negar a execução do applet potencialmente malicioso."

link: TI Rio