Falhas do Java causaram problemas até no Facebook

Já virou piada entre os profissionais de segurança em TI que todo dia a Oracle corrige pelo menos uma falha do Java, e todo dia surgem pelo menos duas novas falhas. E ao que parece nem o Facebook escapou dos problemas trazidos por esses bug, já que eles tiveram várias máquinas invadidas justamente por um bug no Java.

Não tá fácil pra ninguém

O time de segurança explica em termos não muito técnicos o que aconteceu: um grupo de funcionários da empresa acessou um site sobre desenvolvimento móvel, e esse site estava comprometido, hospedando um código malicioso que permitiu que um malware fosse instalado no notebook dos usuários. Como o Facebook jura de pés juntos e ajoelhado no milho que todas as máquinas lá estão sempre atualizadas e com anti-vírus instalado e atualizado, a invasão só podia acontecer a partir de um bug recentemente descoberto.

Depois que a invasão foi percebida pelo time de segurança, todos os computadores comprometidos foram devidamente limpos e a polícia local foi avisada. Além disso, foi feita uma investigação para descobrir mais a fundo o que foi comprometido na invasão e como exatamente ela aconteceu.

A boa notícia é que, segundo o Facebook, nenhum dado de usuário foi comprometido.

A má notícia (pelo menos para o Java) é que a investigação revelou que o código hospedado no site infectado se utilizava de um bug nunca antes visto para passar por cima das proteções de sandbox e, a partir daí, instalar código malicioso na máquina dos usuários que acessaram o site.

O Facebook avisou imediatamente a Oracle, que liberou no dia 1 de fevereiro uma atualização para o Java, resolvendo esse e outros problemas.

Na nota, a empresa também lembra que provavelmente muitos outros usuários de fora do Facebook podem ter sido infectados, e que com isso máquinas no mundo todo podem estar infectadas. Ou seja, lembre-se de manter seu Java atualizado e de configurá-lo para só executar quando for solicitado. E, na dúvida, formate sua máquina e comece de novo.