Um novo dia, uma nova vulnerabilidade é encontrada no Java. Mas diferente da falha relatada no mês passado, a nova parece ser um pouco mais séria. Segundo a empresa que a descobriu, chamada Security Explorations, a falha afeta todos os navegadores atuais com o plugin do Java nas versões 5, 6 e 7. Eles afirmam que todos os 1 bilhão de usuários do plugin estão vulneráveis.

Especificamente, a empresa cita que as versões Java SE 5 Update 22, Java SE 6 Update 35 e Java SE 7 Update 7 (que são as mais recentes) contém a vulnerabilidade. A falha permite driblar uma restrição de segurança da máquina virtual de Java, a conhecida sandbox, o que abre a possibilidade de execução de códigos maliciosos no computador.

Os testes foram executados com o Windows 7 de 32 bits e nas versões mais recentes (e estáveis) dos navegadores Firefox, Chrome, Opera, Internet Explorer e Safari, e em todos a vulnerabilidade estava presente. Isso não quer dizer, no entanto, que outros sistemas não estão vulneráveis – Adam Gowdiak, o CEO da empresa e pesquisador que divulgou a descoberta, diz que outros sistemas operacionais, tanto de 32 quanto de 64 bits, estão vulneráveis.

Assim como a falha mais recente, a recomendação aqui é mesmo desativar o plugin caso você não use. A Oracle, que mantém o Java, ainda não teve tempo de liberar uma correção de segurança, já que a existência da vulnerabilidade foi divulgada ainda hoje. A firma não diz se já viu na web algum ataque explorando essa falha e estima que a Oracle só vai corrigi-la no dia 16 de outubro, que é a data em que está agendada a próxima atualização.

Com informações: ComputerWorld.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

YanGM
Thumb Up!
Tonny Lins
Agreed!
Rennan Alves
Não vejo isso. Os projetos da Sun já estavam em desgosto a muito tempo e não tinham expectativa de crescimento. A Oracle simplesmente colocou ordem na casa, cancelou projetos que não estavam em andamento, ajudou no amadurecimento do Open JDK, unificou o Solaris ao OracleOS, entregou o OpenOffice (que já não estava bom) para a Apache Foundation que o transformou em uma das melhores suítes de escritório do mercado, etc. Não que eu goste da Oracle como empresa, mas dizer que a Oracle é um bicho de sete cabeças para a plataforma Java é meio que um exagero. Ah, lembrando que as distribuições Linux tiraram o Java dos repositórios por causa do licenciamento deste, mas nada impede de colocar o OpenJDK como padrão, ou baixar o Java oficial pelo site da própria Oracle.
Vinicius Kinas
A VM não foi construída para "ser sandbox e não ter tantos problemas de vulnerabilidade como os softwares escritos em C". A VM foi construída para abstrair o sistema operacional e da arquitetura, possibilitar um dinamismo maior no polimorfismo, e mostrar para o programador quando ele atira no próprio pé. O problema é que o aumento da complexidade dos sistemas não veio junto com um aumento das aplicações de técnicas de engenharia de software, muito menos da competência dos programadores. "Considere agora quantas vulnerabilidades podem ser exploradas num programa em C com seus ponteiros e execução livre em cima do SO…." Vamos parar de falar bobagem, pode ser? A utilização de C/C++ não traz vulnerabilidade nenhuma por si só. Quem cria as vulnerabilidades são os programadores. Se C/C++ tivesse um problema intrínseco de segurança, como você afirma, essas linguagens já teriam sido abandonadas dos kernels a muito tempo.
Issao Hanaoka Jr.
Tempestade em copo d'água... Ou alguém ainda acredita que exista sistema invulnerável?
Jhonattas Gonçalves
Concordo plenamente com o comentário do Jonathan acima.
Yuri Costa
Concordo, tem que ser muito ignorante pra julgar toda a plataforma Java devido a um erro no Plugin.
Jonathan André Varella Gangi
Rodar programas em JAVA que usam VM dentro de um S.O. em uma outra VM... Yo Dawg é você???
Jonathan André Varella Gangi
Aumentar a segurança não depende de uma linguagem ou plataforma, como muitos pensam. Eu por exemplo uso Linux por ser mais confiável e seguro que o Windows, mas mesmo assim é perfeitamente vulnerável, basta ver que vários servidores Linux já foram invadidos. A questão é: saber o que está fazendo. É preciso várias e várias coisas pra se ter um grau digno de confiança em uma conexão, a começar o melhor a fazer é ter uma equipe exclusiva de análise de segurança, contratar pentesters, configurar direito as coisas, etc... Pior é que há um descaso tão grande, que eu já vi um site internacional que no cadastro vc digitava a senha e ele sequer mascarava a senha com asteriscos... Devo dizer que não tinha conexão criptografada, criptografia em banco ou qualquer outro item? Se o básico que é definir no HTML eles não fazem, que dirá o resto??? Isso em um site internacional, imagina no Brasil!!!!! É óbvio que existem programadores competentes, pessoal qualificado e muitos especialistas no nosso país, mas será que certas empresas como bancos que mal pagam seus funcionários, os quais estão em greve, irão investir pesado em equipe qualificada??? Fica aí algo pra refletir
Jonathan André Varella Gangi
Legal, começam a falar do Bug no PLUGIN, termina com desempenho na VM.. Onde vai parar isso??? Em questão de lentidão, toda santa máquina virtual é mais lerda do que execução direta sobre o SO, mas em todos os casos, o que vc me diz sobre a grande velocidade de linguagens interpretadas como Python, javascript, ruby, etc?? O java ainda tem um desempenho bem melhor que essas e mesmo assim, queira ou não, você sempre irá usar programas feitos em cima dos três tipos de linguagens que se tem hoje: Compiladas, Virtualizadas e Interpretadas. Agora, cá entre nós, mesmo sendo mais lerdo, a VM foi feita com o intuito de isolar a execução dos softwares da máquina e evitar falhas de segurança. Tudo bem, esse plugin tem uma falha que faz a sanbox vazar, mas o que você me diz sobre todas as possibilidades de falha numa linguagem como C que libera uso de ponteiro e alocação de memória a bel prazer do programador? Sem sistema de tratamento de excessão, sem detector de vazamento de buffer, sem nada? Nem dá pra explorar vulnerabilidade nisso né?
Jonathan André Varella Gangi
Se parar pra pensar nem tanto assim, basta você ir ao banco ao invés de usar o Intenet Banking... A única vez que realmente precisei usar esse plugin foi pra rodar um jogo online de MMORPG chamado Spiral Knights, mas aí descobri que tem como baixar ele pro PC sem precisar ficar indo no site e dependendo do plugin. Fiz isso e rodo ele normal aqui..
Jonathan André Varella Gangi
O COBOL continua funcionando e pelo que tudo indica continuará a funcionar durante anos. Os softwares implementados em COBOL são os responsáveis pela gestão de regra de negócio, a parte "bruta" do sistema dos bancos, já o JAVA é utilizado como "ponte" entre o sistema em COBOL e as interfaces modernas. Dessa forma, o JAVA nunca susbsituiu o COBOL, ele apenas o complementa, a menos que você prefira consultar seu saldo numa tela preta e verde de terminal... Não faria sentido desfazer os sistemas em COBOL pois eles já rodam há anos, de forma confiável, e foi investido uma grana pesada naquilo. O que se tem hoje, fora o citado acima de usar o JAVA como ponte é um processo de reengenharia e manutenção em cima do próprio COBOL para otimizar e desobscurecer alguns códigos obsoletos.
Jonathan André Varella Gangi
O problema das pessoas ao falarem do JAVA geralmente é misturar as bolas. Há uma confusão enorme entre Linguagem JAVA, Máquina Virtual JAVA, Plugin do JAVA, JAVA SE, JAVA EE, JAVA ME, JAVA FX, JAVA Card.. Na boa, o JAVA é uma suite completa de programação com vários derivados. Aí deu bug no plugin, vão culpar a plataforma inteira!! Muitos reclamam da lentidão da VM em executar os .JAR e .class da vida, de fato, seria maravilhoso se todos os programas fossem feitos em C e não dependessem de máquina virtual e blá, blá, blá. mas pare pra pensar que a VM foi construida justamente pra ser sandbox e não ter tantos problemas de vulnerabilidade como os softwares escritos em C, pense também que esse bug foi encontrado num PLUGIN, de fácil desabilitação, sendo que o resto ainda tá de pé. Considere agora quantas vulnerabilidades podem ser exploradas num programa em C com seus ponteiros e execução livre em cima do SO.... Acho que um dos maiores erros, se é que podemos dizer assim, foi a compra da plataforma pela Oracle. A empresa anda meio ferrenha pro pessoal da comunidade, e com desenvolvimento mais restrito, menos programadores interessados, menos feedback, mais bugs, mais dor de cabeça pros pobres coitados que estão lá se matando pra tentar fazer o negócio funcionar... Saudades da SUN!!
Jonathan André Varella Gangi
As falhas estão relatadas ao plugin do JAVA no browser, não da VM java em si. Não precisa desinstalar a máquina java nem minecraft nem nada, só não usar o plugin no navegador. Nisso vc entra em alguns apuros como tentar acessar banco pela internet, jogos online que rodam java ao invés de flash, etc.
Paulo Sobreira
Vejo muito essas noticias de vulnerabilidades do java mas ate que ponto é um corram paras montanhas por que vão formatar meu computador ou roubar todas as minhas senhas.... nunca vi ninguém afetado por isso. Não pelo menos das pessoas que conheço e/ou sigo etc :)
Exibir mais comentários