Home > Notícias

Oracle lança correção urgente para falha de segurança do Java

Duas falhas de segurança permitiam a crackers instalar silenciosamente malware nas máquinas dos usuários que visitam sites comprometidos

Jeremy Kirk, IDG News Service

14/01/2013 às 11h53

Foto:

A Oracle liberou correções de emergência para duas vulnerabilidades do Java no domingo (13/1). As ameaças representam um alto risco para os usuários que costumam navegar na web.

A rapidez com que a empresa liberou a atualização pode ter sido motivada porque dois kits de exploração já receberam o código para explorar ao menos uma das vulnerabilidades, a CVE-2013-0422. O mesmo pode ter ocorrido a códigos de ataque inseridos em sites que já possuem outras vulnerabilidades.

"A Oracle recomenda que esse alerta de segurança seja aplicado o mais rápido possível, porque essas brechas podem ser exploradas na rede e estão disponíveis em diversas ferramentas de hacking", escreveu o diretor de segurança da Oracle, Eric Oracle Maurice, no blog de segurança da
empresa.

Ambas as vulnerabilidades poderiam permitir que usuários fossem atacados por um applet malicioso - uma aplicação Java que é
baixada de outro servidor e funciona se o usuário tiver o Java instalado. Applets são embutidos em páginas da Web e executam no navegador.

Se um usuário acessar um site comprometido com um kit de exploração, um software malicioso pode ser baixado sem o conhecimento do usuário, tornando este um dos tipos mais perigosos de ataques.

As plataformas de software afetadas são qualquer sistema que utiliza o Java 7 (1.7, 1.7.0) por meio do Update 10, de acordo com um
comunicado
da US-CERT (United States Computer Emergency Readiness Team). Isso também inclui o Java Platform Standard Edition 7, Java SE Development Kit e Java SE Runtime Environment.

A vulnerabilidade está "em como o Java 7 restringe as permissões de applets, que permitem que um invasor execute comandos arbitrários no sistema vulnerável", disse a US-CERT.

O segundo patch corrige uma vulnerabilidade (CVE-2012-3174) no Java que roda em browsers, disse a Oracle. Ela também pode ser explorada remotamente, enganando os usuários para que eles acessem um site comprometido.

Maurice observou que as correções também mudarão a configuração de segurança do Java para "alto" por padrão.

"A configuração de 'alta segurança' requer que o usuário autorize expressamente a execução de applets que não são assinados ou são autoassinados", escreveu ele. "Como resultado, os usuários desavisados ​​que visitam sites maliciosos serão previamente notificados de que um applet será executado, assim o usuário poderá negar a execução do applet potencialmente malicioso."

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail