Vídeo: Como BAIXAR E INSTALAR o JAVA (Atualizado 2020) (Outubro 2024)
A Oracle lançou outra atualização de emergência para Java. Esta é a terceira atualização de emergência que a empresa lançou em 2013 para corrigir problemas de segurança em Java que já estavam sendo usados em ataques.
As atualizações mais recentes, Java 7, atualização 17 e Java 6, atualização 43, abordaram o CVE-2013-1493 e uma vulnerabilidade relacionada (CVE-2013-0809), informou a Oracle em seu comunicado de segurança divulgado segunda-feira. Ambas as vulnerabilidades afetam o componente 2D do Java SE, que lida com gráficos de tempo de execução e como as imagens são renderizadas, de acordo com uma postagem no blog de Eric Maurice, diretor de garantia de segurança de software da Oracle.
Todos os usuários de Java devem atualizar imediatamente para as versões mais recentes, informou a empresa.
"Essas vulnerabilidades podem ser exploradas remotamente sem autenticação, ou seja, podem ser exploradas em uma rede sem a necessidade de um nome de usuário e senha", escreveu a Oracle.
Os invasores podem induzir usuários desavisados a visitar um código malicioso de hospedagem de páginas da Web, acionando essas falhas de segurança, disse a Oracle. Os pesquisadores descobriram ataques na natureza infectando computadores de usuários com o Trojan de acesso remoto McRAT. O McRAT contata servidores de comando e controle e se copia nos processos do sistema operacional Windows.
Explorações, se bem-sucedidas, "podem afetar a disponibilidade, a integridade e a confidencialidade do sistema do usuário", escreveu a Oracle.
Muitas atualizações, desative se puder
A Oracle atualizou o Java em meados de janeiro e novamente no início de fevereiro com atualizações de emergência, depois que surgiram relatórios no Natal de uma série de ataques no estilo de um poço de água que afetavam vários sites. A empresa lançou uma atualização agendada abordando 50 erros em 19 de fevereiro. Esses dois erros foram relatados ao Oracle em 1º de fevereiro, mas não puderam ser incluídos na atualização de 19 de fevereiro, escreveu Maurice.
Considerando que a próxima atualização agendada do Java foi em abril, a empresa decidiu lançar um patch fora da banda porque a falha estava sendo usada ativamente em ataques.
"Para ajudar a manter a postura de segurança de todos os usuários do Java SE, a Oracle decidiu lançar uma correção para esta vulnerabilidade e outro bug relacionado o mais rápido possível", escreveu Maurice.
Maurice garantiu aos usuários que os problemas estão presentes apenas em aplicativos Java em execução em navegadores da Web e não se aplicam a Java em execução em servidores, aplicativos de desktop Java independentes ou aplicativos Java incorporados ou software baseado em servidor Oracle. Muitos especialistas em segurança e a equipe de resposta a emergências de computadores do Departamento de Segurança Interna (CERT) recomendam que os usuários desabilitem o plug-in Java em seus navegadores se não o usarem regularmente.
Se o usuário precisar do Java, que abrange a grande maioria dos usuários de negócios e educação, vale a pena manter um navegador separado com o plug-in Java instalado e usá-lo para acessar apenas esses sites.
"É bom ver a Oracle respondendo mais rapidamente às vulnerabilidades críticas, mas já passou da hora de eles se aprofundarem nas questões de segurança do Java", disse Lamar Bailey, diretor de pesquisa e desenvolvimento de segurança da nCircle, ao SecurityWatch . "Espero que a Oracle já tenha designado uma equipe de seus melhores engenheiros de segurança para eliminar proativamente qualquer um dos problemas de segurança Java restantes, mas até lá os usuários atualizarão o Java com a mesma frequência que atualizam as assinaturas de AV", disse ele.
O Java 6 entrou no fim da vida útil em fevereiro, estimulando preocupações sobre se a Oracle deixaria ou não a versão mais antiga. O Oracle corrigiu o Java 6 nesta atualização, que ainda é usada por muitos usuários. Não está claro como a Oracle lidará com patches para Java 6 nos próximos meses.
"Sempre achei que a Oracle fez um bom trabalho em proteger seus produtos, mas a recente erupção de vulnerabilidades em Java está me fazendo perder a fé", disse Bailey, acrescentando que agora se pergunta que tipo de graves problemas de segurança há nos outros produtos da Oracle..
Mais erros de Java encontrados
Em um jogo contínuo de gato e rato, uma atualização do Java significa que é hora de mais divulgações de vulnerabilidades. Adam Gowdiak, chefe da empresa de pesquisa polonesa Security Explorations, encontrou outras cinco questões sobre o Java 7.
"Cinco novos problemas de segurança foram descobertos no Java SE 7 (numerados de 56 a 60), que, quando combinados, podem ser usados com êxito para obter um desvio completo da sandbox de segurança Java no ambiente da atualização 15 do Java SE 7", escreveu Gowdiak na segunda-feira. Lista de discussão Bugtraq. Parece que os invasores poderiam usar os problemas para quebrar algumas das verificações de segurança que a Oracle implementou recentemente, disse Gowdiak. Todos os cinco problemas precisam ser usados juntos para que o ataque seja bem-sucedido. A Gowdiak já enviou informações detalhadas e código de prova de conceito à Oracle.
Dois dos problemas também podem afetar o Java 6, mas isso não foi confirmado.
"Java está provando ser o presente que continua dando aos atacantes", disse Andrew Storms, diretor de operações de segurança da nCircle, ao SecurityWatch . Ele previu ataques mais direcionados contra grandes corporações e entidades governamentais. "As más notícias com Java continuam piorando e não há fim à vista", disse ele.
