A Oracle sabia desde abril sobre a existência de duas vulnerabilidades sem correção do Java 7, que são exploradas em ataques de malware, afirma Adam Gowdiak, fundador e CEO da empresa de segurança polonesa Security Explorations.
A companhia de segurança relatou as questões em torno do Java 7 para a Oracle em 2 de abril. Elas incluem duas vulnerabilidades “zero-day” [sem correção], que os hackers estão explorando para infectar computadores com malware, diz Gowdiak. A organização continuou a reportar os problemas nos meses seguintes.
De acordo com pesquisadores de segurança da empresa Immunity, o exploit Java publicado online esta semana e integrado no conjunto de ferramentas de ataque Blackhole faz uso de duas vulnerabilidades Java.
Segundo relatório que a Oracle recebeu em 23 de agosto, a empresa estava planejando corrigir duas vulnerabilidades em seu Critical Patch Update (CPU) em outubro juntamente com outras 17 falhas de segurança do Java 7, aponta Gowdiak.
A Oracle divulga correções de segurança a cada quatro meses. O último Java CPU foi lançado em junho e só atendeu três dos problemas de segurança relatados pela empresa polonesa. "Apesar de ficar em contato com a Oracle, não sabemos por que ela deixou tantos erros graves para a CPU de outubro", disse Gowdiak.
A companhia de segurança relatou as questões em torno do Java 7 para a Oracle em 2 de abril. Elas incluem duas vulnerabilidades “zero-day” [sem correção], que os hackers estão explorando para infectar computadores com malware, diz Gowdiak. A organização continuou a reportar os problemas nos meses seguintes.
De acordo com pesquisadores de segurança da empresa Immunity, o exploit Java publicado online esta semana e integrado no conjunto de ferramentas de ataque Blackhole faz uso de duas vulnerabilidades Java.
Segundo relatório que a Oracle recebeu em 23 de agosto, a empresa estava planejando corrigir duas vulnerabilidades em seu Critical Patch Update (CPU) em outubro juntamente com outras 17 falhas de segurança do Java 7, aponta Gowdiak.
A Oracle divulga correções de segurança a cada quatro meses. O último Java CPU foi lançado em junho e só atendeu três dos problemas de segurança relatados pela empresa polonesa. "Apesar de ficar em contato com a Oracle, não sabemos por que ela deixou tantos erros graves para a CPU de outubro", disse Gowdiak.
Fonte: ComputerWorld
Nenhum comentário:
Postar um comentário