Total Security - www.totalsecurity.com.br
Nova vulnerabilidade crítica no Java pode afetar um bilhão de PCs e Macs
O bug foi reportado publicamente na lista de discussão de segurança Full Disclosure nesta terça-feira por Adam Gowdiak, fundador e CEO da empresa polonesa de segurança Security Explorations, e pode ser usado para assumir o controle de uma máquina com Java, permitindo que malfeitores instalem malware no sistema.
PCs com Windows e Macs correm o mesmo risco caso tenham o Java instalado ou, no caso dos Macs, rodem a versão 10.6 (Snow Leopard) ou anterior do sistema operacional, que traz o ambiente Java pré-instalado. Todas as versões atualmente suportadas do Java, incluindo a 5, 6 e 7, são afetadas pelo bug.
Gowdiak já encontrou outras vulneabilidades no Java no passado. No início deste ano ele reportou mais de uma dúzia delas para a Oracle. Meses depois, hackers descobriram independentemente um dos bugs, e começaram a usá-lo em ataques em grande escala em Agosto. Em 30 de Agosto a Oracle liberou uma rara atualização de segurança “fora de época” (out of band) para corrigir o bug.
Mas a vulnerabilidade descoberta por Gowdiak na terça-feira é potencialmente mais séria que a falha já explorada e, no momento, apresenta menos risco aos usuários.
“O impacto potencial é maior quando consideramos o número de sistemas vulneráveis”, disse Gowdiak em um e-mail respondendo à questões sobre a falha. “O bug afeta cópias atualizadas do Java 5, 6 e 7. Testamos até mesmo o Developer Preview do Java 7 Update 10, lançado em 20 de Setembro, e verificamos que também é vulnerável”.
A falha “zero-day” explorada pelos criminosos no mês passado afetava apenas o Java 7, a mais nova versão do software, e por causa disso Gowdiak e outros especialistas recomendaram que os usuários fizessem o “downgrade” para o Java 6, que é seguro. Não é o caso agora, já que todas as versões do Java contém a falha.
Gowdiak, usando estatísticas de base instalada citadas pela Oracle, argumentou que aproximadamente um bilhão de usuários estão em perigo por causa da nova vulnerabilidade.
Por outro lado, há muito menos urgência na correção da falha em relação ao mês passado, simplesmente porque não há evidência de que ela esteja sendo explorada por hackers. “Não estamos cientes de nenhum ataque ativo que explore esta vulnerabilidade”, disse Gowdiak.
Gowdiak disse que encontrou a nova falha no Java na semana passada - e levou o fim de semana para criar e testar um software para explorar e provar o conceito - mas só a reportou à Oracle na terça-feira. Em um e-mail para a Computerworld, Gowdiak disse que “acabamos de receber confirmação do problema por parte da Oracle”.
A empresa também lhe disse que o bug será corrigido em uma futura atualização de segurança do Java, mas não informou qual. A próxima, segundo o cronograma da Oracle, será em 16 de Outubro.
PCs com Windows e Macs correm o mesmo risco caso tenham o Java instalado ou, no caso dos Macs, rodem a versão 10.6 (Snow Leopard) ou anterior do sistema operacional, que traz o ambiente Java pré-instalado. Todas as versões atualmente suportadas do Java, incluindo a 5, 6 e 7, são afetadas pelo bug.
Gowdiak já encontrou outras vulneabilidades no Java no passado. No início deste ano ele reportou mais de uma dúzia delas para a Oracle. Meses depois, hackers descobriram independentemente um dos bugs, e começaram a usá-lo em ataques em grande escala em Agosto. Em 30 de Agosto a Oracle liberou uma rara atualização de segurança “fora de época” (out of band) para corrigir o bug.
Mas a vulnerabilidade descoberta por Gowdiak na terça-feira é potencialmente mais séria que a falha já explorada e, no momento, apresenta menos risco aos usuários.
“O impacto potencial é maior quando consideramos o número de sistemas vulneráveis”, disse Gowdiak em um e-mail respondendo à questões sobre a falha. “O bug afeta cópias atualizadas do Java 5, 6 e 7. Testamos até mesmo o Developer Preview do Java 7 Update 10, lançado em 20 de Setembro, e verificamos que também é vulnerável”.
A falha “zero-day” explorada pelos criminosos no mês passado afetava apenas o Java 7, a mais nova versão do software, e por causa disso Gowdiak e outros especialistas recomendaram que os usuários fizessem o “downgrade” para o Java 6, que é seguro. Não é o caso agora, já que todas as versões do Java contém a falha.
Gowdiak, usando estatísticas de base instalada citadas pela Oracle, argumentou que aproximadamente um bilhão de usuários estão em perigo por causa da nova vulnerabilidade.
Por outro lado, há muito menos urgência na correção da falha em relação ao mês passado, simplesmente porque não há evidência de que ela esteja sendo explorada por hackers. “Não estamos cientes de nenhum ataque ativo que explore esta vulnerabilidade”, disse Gowdiak.
Gowdiak disse que encontrou a nova falha no Java na semana passada - e levou o fim de semana para criar e testar um software para explorar e provar o conceito - mas só a reportou à Oracle na terça-feira. Em um e-mail para a Computerworld, Gowdiak disse que “acabamos de receber confirmação do problema por parte da Oracle”.
A empresa também lhe disse que o bug será corrigido em uma futura atualização de segurança do Java, mas não informou qual. A próxima, segundo o cronograma da Oracle, será em 16 de Outubro.
Fonte:
IDGNOW
URL Fonte: http://www.totalsecurity.com.br/noticia/2728/visualizar/
Comentários