Oracle atualiza Java, mas duas novas falhas surgem

Pesquisador afirma que Oracle não corrigiu uma das falhas conhecidas

Paulo Higa
Por
• Atualizado há 5 dias

As coisas não estão indo muito bem para a Oracle. Menos de uma semana após a liberação de uma correção para uma grave falha de segurança no Java, pesquisadores descobriram duas novas vulnerabilidades no plugin. Após análises, especialistas em segurança criticaram a atualização para o Java 7 Update 11, dizendo que a Oracle corrigiu apenas uma das brechas conhecidas.

O pesquisador Adam Gowdiak, da Security Explorations, confirmou na lista de emails Full Disclosure que ainda é possível ultrapassar a barreira de proteção do Java na versão mais recente. Sem dar muitos detalhes, ele criou um exploit que usa duas vulnerabilidades diferentes do Java e enviou o código para a Oracle, que está analisando o problema.

Gowdiak disse ao Softpedia que só foi possível explorar a falha descoberta na semana passada porque a Oracle não corrigiu uma vulnerabilidade antiga, descoberta em agosto do ano passado — isso porque um grande pacote de correção foi liberado no mês de outubro. Uma brecha no MBeanInstantiator permite que um código malicioso seja executado com privilégios elevados, e ela ainda está presente.

Como sempre, a recomendação é desativar ou desinstalar o Java. Para quem ainda precisa dele, uma opção é usar dois navegadores: um com o Java desativado, para acessar sites em geral, e outro com o Java ativado, para acessar sites que exigem o plugin (como bancos). Quem usa Chrome também pode ativar o click-to-play, que executa um plugin somente quando o usuário autorizar.

Com informações: threatpost.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Canal Exclusivo

Relacionados

O que é Java? [Guia para iniciantes]
O que é Java? [Guia para iniciantes]
A guerra continua: Google pode ter que pagar US$ 9 bilhões à Oracle por uso do Java
A guerra continua: Google pode ter que pagar US$ 9 bilhões à Oracle por uso do Java
Google vence disputa judicial contra Oracle sobre uso do Java no Android
Google vence disputa judicial contra Oracle sobre uso do Java no Android
Como ativar o Java no Firefox
Como ativar o Java no Firefox
Imposto de Renda 2021 não exige instalação do Java para rodar no PC
Imposto de Renda 2021 não exige instalação do Java para rodar no PC
Como jogar Minecraft no PC [Requisitos Mínimos]
Como jogar Minecraft no PC [Requisitos Mínimos]
O plugin do Java para navegadores vai ser descontinuado. Ainda bem!
O plugin do Java para navegadores vai ser descontinuado. Ainda bem!
TSE tenta explicar gasto de R$ 26 milhões em nuvem Oracle
TSE tenta explicar gasto de R$ 26 milhões em nuvem Oracle
Microsoft sai de cena e TikTok propõe parceria com Oracle
Microsoft sai de cena e TikTok propõe parceria com Oracle
Google ganha apoio da Microsoft em processo contra Oracle
Google ganha apoio da Microsoft em processo contra Oracle