Já virou piada entre os profissionais de segurança em TI que todo dia a Oracle corrige pelo menos uma falha do Java, e todo dia surgem pelo menos duas novas falhas. E ao que parece nem o Facebook escapou dos problemas trazidos por esses bug, já que eles tiveram várias máquinas invadidas justamente por um bug no Java.

Não tá fácil pra ninguém

Não tá fácil pra ninguém

O time de segurança explica em termos não muito técnicos o que aconteceu: um grupo de funcionários da empresa acessou um site sobre desenvolvimento móvel, e esse site estava comprometido, hospedando um código malicioso que permitiu que um malware fosse instalado no notebook dos usuários. Como o Facebook jura de pés juntos e ajoelhado no milho que todas as máquinas lá estão sempre atualizadas e com anti-vírus instalado e atualizado, a invasão só podia acontecer a partir de um bug recentemente descoberto.

Depois que a invasão foi percebida pelo time de segurança, todos os computadores comprometidos foram devidamente limpos e a polícia local foi avisada. Além disso, foi feita uma investigação para descobrir mais a fundo o que foi comprometido na invasão e como exatamente ela aconteceu.

A boa notícia é que, segundo o Facebook, nenhum dado de usuário foi comprometido.

A má notícia (pelo menos para o Java) é que a investigação revelou que o código hospedado no site infectado se utilizava de um bug nunca antes visto para passar por cima das proteções de sandbox e, a partir daí, instalar código malicioso na máquina dos usuários que acessaram o site.

O Facebook avisou imediatamente a Oracle, que liberou no dia 1 de fevereiro uma atualização para o Java, resolvendo esse e outros problemas.

Na nota, a empresa também lembra que provavelmente muitos outros usuários de fora do Facebook podem ter sido infectados, e que com isso máquinas no mundo todo podem estar infectadas. Ou seja, lembre-se de manter seu Java atualizado e de configurá-lo para só executar quando for solicitado. E, na dúvida, formate sua máquina e comece de novo.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Macaquinho feio do bananal
você deve trabalhar com java e esta com dor no coração, de acreditar nisso. é realmente essa matéria deve ser falsa !!! pq o java é muito seguro mesmo. esses caras do face book não sabem de nada mesmo!!! bobalhões...
Macaquinho feio do bananal
é so formatar mas se for um Rootkit. Você pega um galão de gasolina e queima o seu computador, pronto esta livre.
Macaquinho feio do bananal
java é um lixo mesmo eu falo isso ha 10 anos.
Turdin
Está falando asneira. Tem applets que exploram brechas e são executados sem autorização nenhuma. Já encontrei vários assim, por isso aqui nem deixo instalado o Java, quando preciso rodar bancos rodo em uma VM.
guilhermevh
A Micro$oft lixo, lança atualização de segurança todos os dias, porque ninguém fala nada? o Java é a plataforma mais segura hoje em dia, mas nenhuma segurança adianta se o usuário permitir o acesso clicando em SIM pra tudo... por default já é configurado para que SEMPRE seja solicitado a permissão, NADA é executado automaticamente pela JVM.
Luiz Arthur Freitas
Cara, precisa de informar um pouco, o problema não tem relação nenhuma com a linguagem java e muito menos com as aplicações corporativas construídas com java. Aplicações java server-side não precisam do plugin web do java para nada e boa parte das aplicações hj em dia utilizam java dessa forma, como facebook, linkedin e etc. Acontece que quem escreve as matérias provavelmente desconhece o tema, por isso não fica claro para os leitores o escopo do problema... A linguagem java não tem nada a ver com a falha, a plataforma também não, aplicações server-side também não, android também não. Ou seja, a falha de segurança é unicamente no plugin web, que por mim poderia ser descartado, assim como o flash está sendo. Alguém poderia editar o artigo para fornecer informações mais claras aos leitores que não são do meio?
Luiz Arthur Freitas
Applet é coisa do passado, não sei porque ainda utilizam isso. Aplicações java server-side não precisam do plugin web do java para nada e boa parte das aplicações hj em dia utilizam java dessa forma, como facebook, linkedin e etc. Acontece que quem escreve as matérias provavelmente desconhece o tema, por isso não fica claro para os leitores o escopo do problema... A linguagem java não tem nada a ver com a falha, a plataforma também não, aplicações server-side também não, android também não. Ou seja, a falha de segurança é unicamente no plugin web, que por mim poderia ser descartado, assim como o flash está sendo.
celiosilva
Nossa quanta asneira nesses comentários. Na boa pessoal, alguém pensou no que aconteceu ? Leiam essa parte novamente "funcionários da empresa acessaram* um site sobre desenvolvimento móvel, e esse site estava comprometido, hospedando um código malicioso que permitiu que um malware fosse instalado no notebook dos usuários". Pois bem, a partir do momento que vc aceita um applet (clica lá no "Trust" do applet) ele pode fazer o que quiser. Pode copiar arquivos, apagar arquivos, etc, mas lembre-se que FOI VOCÊ QUE RESOLVEU CONFIAR NA PORCARIA DO APPLET e não o contrário, ninguém invadiu seu computador sem seu consentimento. Você acha que os bancos possuem código malicioso dentro dos applets para atacarem seu computador ? Não, eles não tem isso. Então o pessoal entra em um site chinfrim, aqueles do tipo clique aqui para ganhar um carro novo, clica no negocio e sai falando que o negocio é inseguro. Desculpe-me mas contra estupidez não há anti-vírus, SO, maquina virtual que resista.
YanGM
C-C-C-COMBO BREAKER
YanGM
Só pelo avatar do cara você já sabe que ele está de brincadeira.
André Paul Grandsire
É verdade Helio. Java em sí é uma tecnologia e tanto (apesar de eu conhecer pouco). O problema é que para executar os Applets, preciso do JVM instalado. Me corrija se eu estiver enganado, por favor. Mas, por questões de applets inseguros, acabamos por desativar uma tecnologia inteira.
André Paul Grandsire
Questão de costume não. Usuários Windows gostam de formatações, assim como Linux Users gostam de scripts sh, e por aí vai. Questão de gosto meu amigo ;)
André Paul Grandsire
IE, Chrome, Safari, todos eles precisam do Java pra rodar. É pré-requisito pra conseguir acessar o Internet Banking. Sou correntista BB, e em todos os navegadores é necessário..
Leonardo Rodrigues Magalhães
nem todos João Manoel ... babacas existem em qualquer lugar, não se esqueça disso :/
Thiago Sabaia
Só tenho o java no pc, por causa do Itau e um sistema que minha empresa usa a base de java, se não fosse isso, já estava sem ele a um bom tempo. Além de ser uma coisa que aparece problemas direto, é muito lento.
Exibir mais comentários