Plugin do Java tem falha de segurança ainda não corrigida

Vulnerabilidade permite download e execução de trojan.

Paulo Higa
• Atualizado há 3 meses

Se você usa o plugin do Java no navegador, atenção: uma falha de segurança recém-descoberta está sendo utilizada para disseminar um malware que se comunica com servidores remotos localizados na Ásia. A Oracle ainda não liberou a correção para a falha e a recomendação padrão é desabilitar o plugin enquanto o problema não é resolvido.

A empresa de segurança FireEye publicou informações sobre a falha “dia zero”, que foi explorada com sucesso numa máquina com Firefox e a última versão do Java 7. O applet malicioso está hospedado num servidor chinês e, se for executado, faz download de um trojan Dropper. Esse tipo de cavalo de Tróia, quando instalado no computador da vítima, pode baixar outros trojans.

Falha do Java sendo explorada pela FireEye

A falha ainda não está sendo explorada em larga escala, mas a FireEye não descarta essa possibilidade. “É apenas uma questão de tempo para que uma prova de conceito seja liberada e outros usuários maliciosos utilizem esse exploit também”, disse o pesquisador Atif Mushtaq. Isso não é muito difícil, considerando que uma falha no Java (olha ele de novo) afetou 600 mil Macs em abril.

Enquanto a vulnerabilidade não é corrigida pela Oracle, a solução mais recomendada para o problema é desativar o plugin (ou simplesmente negar a execução de um applet suspeito). No Chrome, isso pode ser feito por meio do chrome://plugins; no Firefox, o Java pode ser desativado no about:addons.

Com informações: Forbes.

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.