Para o Oracle, é como um déjà vu, tudo de novo.

Poucos dias depois de ter lançado uma correção para uma falha de segurança grave do Java, a linguagem de programação é manchete novamente. E pelo menos problema. Outra falha anteriormente desconhecida do programa ameaça a segurança de milhões de computadores que ainda podem estar executando o aplicativo.

A Oracle lançou uma correção de emergência no domingo (13/1) para uma falha do Java tão grave que o Departamento de Segurança Interna dos EUA recomendou aos usuários de computador que desativassem o software a menos que o seu uso fosse "absolutamente necessário".

Esse conselho foi repetido na segunda-feira (14/1) pela equipe do departamento de Respostas às Emergências de Computadores dos Estados Unidos (US-CERT, em inglês, U.S. Computer Emergency Readiness Team), mesmo depois que o patch foi liberado para os usuários.

Vulnerabilidade à venda

Agora relataram que um vendedor malicioso (Black Hat) pôs à venda uma nova vulnerabilidade 0-day para a última versão do Java (versão 7, atualização 11) para até dois compradores por 5 mil dólares cada.

Versões efetivas do código fonte da vulnerabilidade foram oferecidas pelo vendedor, de acordo com o blogueiro de segurança Brian Krebs, que descobriu a oferta em um fórum de cibercrime exclusivo.

Desde que Krebs descobriu a oferta, disse ele, ela foi removida da página, sugerindo que o vendedor encontrou seus compradores do seu produto.

"Para mim, isso deve acabar com quaisquer ilusões de que as pessoas podem confiar na segurança de ter o Java instalado em um PC do usuário final, sem tomar as medidas necessárias para isolar o programa", escreveu Krebs.

Esta vulnerabilidade Java é pior do que a última, porque ninguém sabe o que é, de acordo com o analista-sênior de ameaças online da empresa de antivírus Bitdefender, Bogdan Botezatu.

Na falha corrigida no domingo, explicou, o código de exploração foi identificado por pesquisadores de segurança em alguns kits de exploração populares. Mas essa última falha é conhecida apenas pelo vendedor. "O método atual de exploração deverá permanecer desconhecido por um longo período de tempo, o que também aumentará as oportunidades de ataques para crackers", disse Botezatu por e-mail.

link: TI Rio