quinta-feira, 17 de janeiro de 2013

Correção de Exploit do Java pode levar anos.



Especialistas em segurança estão solicitando aos
usuários que desativem o Java em seus navegadores. 



No último domingo, dia 13 de janeiro de 2013, a Oracle lançou um patch para os mais recentes problemas de segurança do Java, conhecidos como falha "zero-day". Ainda assim, vários especialistas alertam que não foi o suficiente, ou seja, o Java deve ser evitado a todo custo. O Departamento de Segurança Interna dos EUA está pedindo aos usuários da linguagem que desativem todos os plugins Java em seus computadores. 

Um anúncio postado no website DOHS no dia 14 de janeiro, o qual foi intitulado “Vulnerability Note VU#625617”, alertou os usuários que o Java 7 Update 10 e versões anteriores continham uma vulnerabilidade que permite a obtenção de acesso não autorizado por terceiros. 

O Java 7 deu aos hackers a capacidade de iniciar o seu próprio código no computador da vítima e, em seguida, obter o controle total do computador. Esta vulnerabilidade está sendo explorada agora mesmo. Além disso, já há relatos de que será incorporada em kits de exploração, com o código necessário para isso já publicamente disponível. 

"Nós confirmamos que as plataformas Windows, Mac OS X, e Linux são afetadas. Além disso, outras plataformas que utilizam o Oracle Java 7 também podem estar vulneráveis. "Ao convencer o usuário a visitar um documento HTML especialmente criado com esse propósito, um atacante remoto pode ser capaz de executar o código arbitrário em um sistema vulnerável" , diz o alerta do website DOHS US-CERT. 

O site explicitamente avisa aos usuários para desativar o Java em seus navegadores web imediatamente, mesmo após a última atualização 7u11 da Oracle. "A não ser que seja absolutamente necessário rodar o Java em navegadores web desative-o, mesmo após a liberação da última atualização. Isso vai ajudar a mitigar outras vulnerabilidades do Java que podem ser descobertas no futuro", escreveu a equipe da US-CERT. 

Especialistas em segurança de software disseram que a Oracle pode levar até 2 anos para resolver todos os problemas encontrados na gestão de segurança do Java. 

Os escritores do website da Sophos também concordam com a equipe do US-CERT. Eles disseram que a instalação de um patch da Oracle não seria suficiente para proteger o computador no futuro. "Liberar patchs contra esta falha de segurança não resolve o problema", escreve Graham Cluley da Naked Security.   


Fonte

Nenhum comentário:

Postar um comentário