Início » Antivírus e Segurança » Nova vulnerabilidade encontrada no Java: 1 bilhão de usuários afetados

Nova vulnerabilidade encontrada no Java: 1 bilhão de usuários afetados

Avatar Por

Um novo dia, uma nova vulnerabilidade é encontrada no Java. Mas diferente da falha relatada no mês passado, a nova parece ser um pouco mais séria. Segundo a empresa que a descobriu, chamada Security Explorations, a falha afeta todos os navegadores atuais com o plugin do Java nas versões 5, 6 e 7. Eles afirmam que todos os 1 bilhão de usuários do plugin estão vulneráveis.

Especificamente, a empresa cita que as versões Java SE 5 Update 22, Java SE 6 Update 35 e Java SE 7 Update 7 (que são as mais recentes) contém a vulnerabilidade. A falha permite driblar uma restrição de segurança da máquina virtual de Java, a conhecida sandbox, o que abre a possibilidade de execução de códigos maliciosos no computador.

Os testes foram executados com o Windows 7 de 32 bits e nas versões mais recentes (e estáveis) dos navegadores Firefox, Chrome, Opera, Internet Explorer e Safari, e em todos a vulnerabilidade estava presente. Isso não quer dizer, no entanto, que outros sistemas não estão vulneráveis - Adam Gowdiak, o CEO da empresa e pesquisador que divulgou a descoberta, diz que outros sistemas operacionais, tanto de 32 quanto de 64 bits, estão vulneráveis.

Assim como a falha mais recente, a recomendação aqui é mesmo desativar o plugin caso você não use. A Oracle, que mantém o Java, ainda não teve tempo de liberar uma correção de segurança, já que a existência da vulnerabilidade foi divulgada ainda hoje. A firma não diz se já viu na web algum ataque explorando essa falha e estima que a Oracle só vai corrigi-la no dia 16 de outubro, que é a data em que está agendada a próxima atualização.

Com informações: ComputerWorld.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

YanGM
Thumb Up!
Tonny Lins
Agreed!
Rennan Alves
Não vejo isso. Os projetos da Sun já estavam em desgosto a muito tempo e não tinham expectativa de crescimento.

A Oracle simplesmente colocou ordem na casa, cancelou projetos que não estavam em andamento, ajudou no amadurecimento do Open JDK, unificou o Solaris ao OracleOS, entregou o OpenOffice (que já não estava bom) para a Apache Foundation que o transformou em uma das melhores suítes de escritório do mercado, etc.

Não que eu goste da Oracle como empresa, mas dizer que a Oracle é um bicho de sete cabeças para a plataforma Java é meio que um exagero.

Ah, lembrando que as distribuições Linux tiraram o Java dos repositórios por causa do licenciamento deste, mas nada impede de colocar o OpenJDK como padrão, ou baixar o Java oficial pelo site da própria Oracle.
Vinicius Kinas
A VM não foi construída para "ser sandbox e não ter tantos problemas de vulnerabilidade como os softwares escritos em C". A VM foi construída para abstrair o sistema operacional e da arquitetura, possibilitar um dinamismo maior no polimorfismo, e mostrar para o programador quando ele atira no próprio pé.

O problema é que o aumento da complexidade dos sistemas não veio junto com um aumento das aplicações de técnicas de engenharia de software, muito menos da competência dos programadores.

"Considere agora quantas vulnerabilidades podem ser exploradas num programa em C com seus ponteiros e execução livre em cima do SO…."
Vamos parar de falar bobagem, pode ser? A utilização de C/C++ não traz vulnerabilidade nenhuma por si só. Quem cria as vulnerabilidades são os programadores.

Se C/C++ tivesse um problema intrínseco de segurança, como você afirma, essas linguagens já teriam sido abandonadas dos kernels a muito tempo.
Issao Hanaoka Jr.
Tempestade em copo d'água...
Ou alguém ainda acredita que exista sistema invulnerável?
Jhonattas Gonçalves
Concordo plenamente com o comentário do Jonathan acima.
Yuri Costa
Concordo, tem que ser muito ignorante pra julgar toda a plataforma Java devido a um erro no Plugin.
Jonathan André Varella Gangi
Rodar programas em JAVA que usam VM dentro de um S.O. em uma outra VM... Yo Dawg é você???
Jonathan André Varella Gangi
Aumentar a segurança não depende de uma linguagem ou plataforma, como muitos pensam. Eu por exemplo uso Linux por ser mais confiável e seguro que o Windows, mas mesmo assim é perfeitamente vulnerável, basta ver que vários servidores Linux já foram invadidos.

A questão é: saber o que está fazendo.

É preciso várias e várias coisas pra se ter um grau digno de confiança em uma conexão, a começar o melhor a fazer é ter uma equipe exclusiva de análise de segurança, contratar pentesters, configurar direito as coisas, etc...

Pior é que há um descaso tão grande, que eu já vi um site internacional que no cadastro vc digitava a senha e ele sequer mascarava a senha com asteriscos... Devo dizer que não tinha conexão criptografada, criptografia em banco ou qualquer outro item? Se o básico que é definir no HTML eles não fazem, que dirá o resto??? Isso em um site internacional, imagina no Brasil!!!!! É óbvio que existem programadores competentes, pessoal qualificado e muitos especialistas no nosso país, mas será que certas empresas como bancos que mal pagam seus funcionários, os quais estão em greve, irão investir pesado em equipe qualificada???

Fica aí algo pra refletir
Jonathan André Varella Gangi
Legal, começam a falar do Bug no PLUGIN, termina com desempenho na VM.. Onde vai parar isso??? Em questão de lentidão, toda santa máquina virtual é mais lerda do que execução direta sobre o SO, mas em todos os casos, o que vc me diz sobre a grande velocidade de linguagens interpretadas como Python, javascript, ruby, etc?? O java ainda tem um desempenho bem melhor que essas e mesmo assim, queira ou não, você sempre irá usar programas feitos em cima dos três tipos de linguagens que se tem hoje: Compiladas, Virtualizadas e Interpretadas.

Agora, cá entre nós, mesmo sendo mais lerdo, a VM foi feita com o intuito de isolar a execução dos softwares da máquina e evitar falhas de segurança. Tudo bem, esse plugin tem uma falha que faz a sanbox vazar, mas o que você me diz sobre todas as possibilidades de falha numa linguagem como C que libera uso de ponteiro e alocação de memória a bel prazer do programador? Sem sistema de tratamento de excessão, sem detector de vazamento de buffer, sem nada? Nem dá pra explorar vulnerabilidade nisso né?
Jonathan André Varella Gangi
Se parar pra pensar nem tanto assim, basta você ir ao banco ao invés de usar o Intenet Banking... A única vez que realmente precisei usar esse plugin foi pra rodar um jogo online de MMORPG chamado Spiral Knights, mas aí descobri que tem como baixar ele pro PC sem precisar ficar indo no site e dependendo do plugin. Fiz isso e rodo ele normal aqui..
Jonathan André Varella Gangi
O COBOL continua funcionando e pelo que tudo indica continuará a funcionar durante anos. Os softwares implementados em COBOL são os responsáveis pela gestão de regra de negócio, a parte "bruta" do sistema dos bancos, já o JAVA é utilizado como "ponte" entre o sistema em COBOL e as interfaces modernas. Dessa forma, o JAVA nunca susbsituiu o COBOL, ele apenas o complementa, a menos que você prefira consultar seu saldo numa tela preta e verde de terminal...

Não faria sentido desfazer os sistemas em COBOL pois eles já rodam há anos, de forma confiável, e foi investido uma grana pesada naquilo. O que se tem hoje, fora o citado acima de usar o JAVA como ponte é um processo de reengenharia e manutenção em cima do próprio COBOL para otimizar e desobscurecer alguns códigos obsoletos.
Jonathan André Varella Gangi
O problema das pessoas ao falarem do JAVA geralmente é misturar as bolas. Há uma confusão enorme entre Linguagem JAVA, Máquina Virtual JAVA, Plugin do JAVA, JAVA SE, JAVA EE, JAVA ME, JAVA FX, JAVA Card.. Na boa, o JAVA é uma suite completa de programação com vários derivados. Aí deu bug no plugin, vão culpar a plataforma inteira!!

Muitos reclamam da lentidão da VM em executar os .JAR e .class da vida, de fato, seria maravilhoso se todos os programas fossem feitos em C e não dependessem de máquina virtual e blá, blá, blá. mas pare pra pensar que a VM foi construida justamente pra ser sandbox e não ter tantos problemas de vulnerabilidade como os softwares escritos em C, pense também que esse bug foi encontrado num PLUGIN, de fácil desabilitação, sendo que o resto ainda tá de pé. Considere agora quantas vulnerabilidades podem ser exploradas num programa em C com seus ponteiros e execução livre em cima do SO....

Acho que um dos maiores erros, se é que podemos dizer assim, foi a compra da plataforma pela Oracle. A empresa anda meio ferrenha pro pessoal da comunidade, e com desenvolvimento mais restrito, menos programadores interessados, menos feedback, mais bugs, mais dor de cabeça pros pobres coitados que estão lá se matando pra tentar fazer o negócio funcionar...

Saudades da SUN!!
Jonathan André Varella Gangi
As falhas estão relatadas ao plugin do JAVA no browser, não da VM java em si. Não precisa desinstalar a máquina java nem minecraft nem nada, só não usar o plugin no navegador. Nisso vc entra em alguns apuros como tentar acessar banco pela internet, jogos online que rodam java ao invés de flash, etc.
Paulo Sobreira
Vejo muito essas noticias de vulnerabilidades do java mas ate que ponto é um corram paras montanhas por que vão formatar meu computador ou roubar todas as minhas senhas.... nunca vi ninguém afetado por isso. Não pelo menos das pessoas que conheço e/ou sigo etc :)
Guilherme Macedo C.
Flash tem como substituto o HTML5, mas e o Java? Existe algo parecido?
Rayzer
Poh, vou ter que parar de jogar Minecraft. Chateado :/
(Eu sei, eu sei, dá para desativar o plug-in no navegador mais ainda manter instalado no pc...)
Tiago Gabriel
Coincidência ou não depois que a Oracle comprou a Sun, alguns dos produtos desta caíram no desgosto dos usuários por conta da postura da Oracle, o OpenOffice já era, e algumas distros linux já se livraram do java como padrão, como o Ubuntu. Tá na hora de fomentar mais o uso e desenvolvimento da alternativa opem, como foi feito com o libreoffice.
Tiago Gabriel
Esse é o problema da dependência a um programa só para determinada tarefa, o mundo é refém do java, assim como foi e, em parte, ainda é, do flash.
Luiz Alberto
Java pra mim agora só guardadinho dentro de uma máquina virtual. No meu pc essa praga não entra.
Vinicius Salvati Melquiades
O engraçado é que alguns bancos usam o Java para "aumentar a segurança".
Não sei se eu do rizada ou eu choro.
Não importa o quanto seja (i)util, eu não instalo essa porcaria no meu PC nunca mais
Kessler
Não precisa. A Lerdeza é auto-evidente e sobre as vulnerabilidades sai notícia toda semana.
mlhz
senão fosse esencial o uso do java eu pularia fora na hora.
trovalds
Eu ia escrever uma muralha de texto aqui pra rebater o seu argumento, mas... deixa pra lá.
Tiago Cássio
Você é um brincalhão! ¬¬'
Sérgio Virgilio
Pra quem não sabe desabilitar no Chome: Digite "chrome://plugins/" (sem aspas) na barra de endereços. :-D
trovalds
E ainda tem gente que fala que o JAVA é o "santo graal" que vai nos salvar do antiquado e já datado COBOL. Tá, senta lá Cláudia.
tbftiago
Associar essas duas palavras ao Java só pode vir de alguém que não conhece a plataforma.
@AntonioVeras
Logo os bancos.
Sam_Rodrigo
Tá doido com esse pessoal do Java... estão cobrindo um santo e descobrindo outro!!!
TaylerPadilha
1º passo: sentir calafrios;
2º passo: ficar "puto da cara" e xingar MUITO o plugin;
3º passo: desinstalar o plugin enquanto ainda xinga-o MUITO;
4º passo: depois de desinstalado o plugin, ACHAR que, agora, está protegido;
5º passo: reinstalar o plugin depois de duas semanas por já ter se esquecido de tudo e notar como o plugin faz falta na seu cotidiano.
Turdin
Java, vunerabilidade e lentidão na mesma frase não é uma novidade muito grande pra falar a verdade.
Infelizmente somos obrigados a usar por causa dos bancos, é a vida.