O especialista em segurança Adam Gowdiak, da Security Explorations, publicou na lista de discussão "Full-Disclosure" que a Oracle foi alertada para mais uma falha grave no Java Runtime Environment (JRE), o software responsável pela execução de aplicativos programados na linguagem de mesmo nome. O problema permite que um applet Java "escape" das restrições impostas pelo plug-in do navegador web, permitindo que a mera visita a uma página instale vírus no sistema.
Gowdiak é o mesmo pesquisador que disse ter comunicado a Oracle em abril sobre uma falha no Java que foi explorada por hackers em agosto. Ele já havia alertado que, apesar da correção de emergência lançada pela Oracle, o Java ainda estava vulnerável.
A vulnerabilidade foi confirmada e explorada com sucesso nas versões 5, 6 e 7 do Java. Nos navegadores web, o problema foi testado no Firefox, Chrome, Internet Explorer, Opera e Safari – todos os ataques tiveram sucesso.
Não se sabe se o problema estaria em uso por hackers na web, porque o erro foi identificado por meio de testes de segurança no software, não com análise de ataques. A Security Explorations não informou publicamente nenhum detalhe técnico do problema – essas informações foram enviadas apenas à Oracle, desenvolvedora do Java, que deve produzir uma atualização do software que corrija a falha.
Devido às falhas no Java e à pequena quantidade de sites que usam o software de forma legítima, vários sites e especialistas de segurança estão recomendando que o plug-in do Java seja desativado nos navegadores web, que são os mais expostos aos problemas no software.
Gowdiak é o mesmo pesquisador que disse ter comunicado a Oracle em abril sobre uma falha no Java que foi explorada por hackers em agosto. Ele já havia alertado que, apesar da correção de emergência lançada pela Oracle, o Java ainda estava vulnerável.
A vulnerabilidade foi confirmada e explorada com sucesso nas versões 5, 6 e 7 do Java. Nos navegadores web, o problema foi testado no Firefox, Chrome, Internet Explorer, Opera e Safari – todos os ataques tiveram sucesso.
Não se sabe se o problema estaria em uso por hackers na web, porque o erro foi identificado por meio de testes de segurança no software, não com análise de ataques. A Security Explorations não informou publicamente nenhum detalhe técnico do problema – essas informações foram enviadas apenas à Oracle, desenvolvedora do Java, que deve produzir uma atualização do software que corrija a falha.
Devido às falhas no Java e à pequena quantidade de sites que usam o software de forma legítima, vários sites e especialistas de segurança estão recomendando que o plug-in do Java seja desativado nos navegadores web, que são os mais expostos aos problemas no software.
Fonte: Globo.com