Arquivo Aplicativos e Software

Oracle atualiza Java, mas duas novas falhas surgem

Pesquisador afirma que Oracle não corrigiu uma das falhas conhecidas

Paulo Higa
Por

As melhores ofertas,
sem rabo preso

As coisas não estão indo muito bem para a Oracle. Menos de uma semana após a liberação de uma correção para uma grave falha de segurança no Java, pesquisadores descobriram duas novas vulnerabilidades no plugin. Após análises, especialistas em segurança criticaram a atualização para o Java 7 Update 11, dizendo que a Oracle corrigiu apenas uma das brechas conhecidas.

O pesquisador Adam Gowdiak, da Security Explorations, confirmou na lista de emails Full Disclosure que ainda é possível ultrapassar a barreira de proteção do Java na versão mais recente. Sem dar muitos detalhes, ele criou um exploit que usa duas vulnerabilidades diferentes do Java e enviou o código para a Oracle, que está analisando o problema.

Gowdiak disse ao Softpedia que só foi possível explorar a falha descoberta na semana passada porque a Oracle não corrigiu uma vulnerabilidade antiga, descoberta em agosto do ano passado — isso porque um grande pacote de correção foi liberado no mês de outubro. Uma brecha no MBeanInstantiator permite que um código malicioso seja executado com privilégios elevados, e ela ainda está presente.

Como sempre, a recomendação é desativar ou desinstalar o Java. Para quem ainda precisa dele, uma opção é usar dois navegadores: um com o Java desativado, para acessar sites em geral, e outro com o Java ativado, para acessar sites que exigem o plugin (como bancos). Quem usa Chrome também pode ativar o click-to-play, que executa um plugin somente quando o usuário autorizar.

Com informações: threatpost.

Paulo Higa

Editor-executivo

Paulo Higa é jornalista, com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. Trabalha no Tecnoblog desde 2012, viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. É coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Mais Populares

Responde

Relacionados

Em destaque