Em seu patch mais recente, a Oracle consertou 25 falhas do Java, incluindo uma que já era explorada em ataques. A empresa liberou o Update 51 para Java 8, o Update 85 para Java 7 e o Update 101 para Java 6, dos quais apenas o primeiro é público, já que o suporte para as versões anteriores se esgotou há alguns anos e está disponível apenas a clientes com contratos de extensão. Entre os reparos, um é específico à plataforma Mac e quatro são para o Java Secure Socket Extension (JSSE), informou Eric Maurice, diretor de segurança de software da Oracle.
Além da linguagem de programação, a companhia também atualizou uma gama de outros produtos, como Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Communications Applications, Oracle Java SE, Oracle Sun Systems Products Suite, Oracle Linux and Virtualization e Oracle MySQL. Ao todo, 193 vulnerabilidades foram reparadas, das quais 44 eram decorrentes de componentes externos.
Das 25 falhas corrigidas na plataforma, 23 podem ser exploradas remotamente sem a necessidade de autenticação, com 16 vulnerabilidades afetando somente a implementação para clientes e 5 atingindo a implementação de clientes e servidores.
A atualização reparou a falha CVE-2015-2590, que possuía status de dia-zero, ou seja, era explorada por agressores enquanto não era disponibilizada uma solução. Ela foi descoberta por pesquisadores da Trend Micro em ataques que às forças armadas de um país membro da OTAN não identificado e às defesas dos Estados Unidos.
As agressões foram promovidas pelo grupo de ciberespionagem conhecido como Pawn Storm ou APT28, supostamente ligado ao serviço secreto russo. Ativo desde 2007, ele costuma se focar em organizações militares, midiáticas e governamentais.
Embora o Java ainda seja muito usado em aplicações Web de ambientes corporativos, raramente é encontrado em sites voltados ao consumidor, eliminando a necessidade do plug-in na maioria dos navegadores de usuários finais, alvos da maioria das explorações da plataforma.
É possível realizar a remoção e a inabilitação manual do Java nos navegadores instalados em um computador, mas o plug-in pode ser reabilitado automaticamente em sua próxima atualização. Desinstalá-lo do sistema costuma ser inviável, pois algumas aplicações ainda o exigem.
Felizmente, a Oracle adicionou uma opção no painel de controle da plataforma que serve de central para a inabilitação do suporte a conteúdo baseado em Java nos navegadores.
As empresas que dependem do suporte Java para a Web terão mais trabalho para se defenderem das explorações de dia-zero, mas algumas opções já reduzem a probabilidade de ataque. O Internet Explorer, por exemplo, possui uma ferramenta que permite aos administradores restringirem os sites com permissão de carregar conteúdo Java, enquanto o Mozilla Firefox e Google Chrome oferecem a opção de clicar para reprodução, usada para prevenir a execução automática de conteúdo baseado na linguagem de programação.
Nenhum comentário:
Postar um comentário