Home > Notícias

Menosprezada pela Sun, falha no Java permite ataque de crackers

Segundo pesquisador que descobriu a falha, a empresa disse que não vai liberar uma correção em breve.

IDG News Service/EUA

12/04/2010 às 7h53

Foto:

Um pesquisador do Google divulgou detalhes sobre um bug relacionado à linguagem Java (associado à virtual machine) que permite que crackers (criminosos da internet) rodem programas não autorizados em computadores remotos.

A vulnerabilidade foi anunciada na sexta (9/4) por Tavis Ormandy, que afirma já ter notificado a equipe da  Sun/Oracle há algum tempo. “Eles me disseram que não consideram essa brecha suficientemente prioritária para alterar seu ciclo de atualização do trimestre”, afirmou Ormady. “Eu não concordo com eles”, completou. 


Procurada por nossa reportagem, a Sun/Oracle não quis comentar o caso. A empresa liberou um grande pacote de atualizações na semana passada e só deve soltar um outro lote de correções em julho.


Segundo o especialista, a falha acontece porque a linguagem Java permite criar uma biblioteca nociva e determinar à JVM que a instale. Assim, um cracker pode rodar seu programa de ataque.

“A Oracle está cometendo um erro ao não corrigir esse bug imediatamente”, afirma Marc Maiffret, diretor  da empresa de segurança FireEye. Segundo ele, o bug é preocupante porque ele se deve a uma falha de design do Java.

Apesar disso, os ataques baseados em Java ainda são raros. De acordo com o analista de segurança Russ Cooper, da Verizon, é mais provável que, em vez de desenvolverem um novo ataque explorando essa brecha, os criminosos prefiram explorar falhas mais conhecidas, como as do Adobe Reader.

A falha afeta as versões a partir da atualização Java SE 6 para Windows, afirma Ormandy. Segundo a Symantec, usuários de Linux também podem ser afetados.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail