Oracle atualiza Java, mas duas novas falhas surgem
Pesquisador afirma que Oracle não corrigiu uma das falhas conhecidas
As coisas não estão indo muito bem para a Oracle. Menos de uma semana após a liberação de uma correção para uma grave falha de segurança no Java, pesquisadores descobriram duas novas vulnerabilidades no plugin. Após análises, especialistas em segurança criticaram a atualização para o Java 7 Update 11, dizendo que a Oracle corrigiu apenas uma das brechas conhecidas.
O pesquisador Adam Gowdiak, da Security Explorations, confirmou na lista de emails Full Disclosure que ainda é possível ultrapassar a barreira de proteção do Java na versão mais recente. Sem dar muitos detalhes, ele criou um exploit que usa duas vulnerabilidades diferentes do Java e enviou o código para a Oracle, que está analisando o problema.
Gowdiak disse ao Softpedia que só foi possível explorar a falha descoberta na semana passada porque a Oracle não corrigiu uma vulnerabilidade antiga, descoberta em agosto do ano passado — isso porque um grande pacote de correção foi liberado no mês de outubro. Uma brecha no MBeanInstantiator permite que um código malicioso seja executado com privilégios elevados, e ela ainda está presente.
Como sempre, a recomendação é desativar ou desinstalar o Java. Para quem ainda precisa dele, uma opção é usar dois navegadores: um com o Java desativado, para acessar sites em geral, e outro com o Java ativado, para acessar sites que exigem o plugin (como bancos). Quem usa Chrome também pode ativar o click-to-play, que executa um plugin somente quando o usuário autorizar.
Com informações: threatpost.
Escrito por