Oracle lança correção de emergência para Java 0 dias

A Oracle lançou patches de emergência para Java na segunda-feira para abordar duas vulnerabilidades críticas, uma das quais está sendo ativamente explorada por hackers em ataques direcionados.

As vulnerabilidades, identificadas como CVE- 2013-1493 e CVE-2013-0809, estão localizados no componente 2D de Java e receberam a maior pontuação de impacto possível da Oracle.

“Essas vulnerabilidades podem ser exploradas remotamente sem autenticação, ou seja, podem ser exploradas em uma rede. sem a necessidade de um nome de usuário e senha ”, disse a empresa em um alerta de segurança. “Para que uma exploração seja bem-sucedida, um usuário desavisado que esteja executando uma versão afetada em um navegador deve visitar uma página da Web mal-intencionada que aproveita essas vulnerabilidades. Explosões bem-sucedidas podem afetar a disponibilidade, integridade e confidencialidade do sistema do usuário. ”

[Leia mais: Como remover malware do seu PC com Windows]

As atualizações recém-lançadas fazem o Java rodar nas versões 7 Atualizar 17 (7u17) e 6 Update 43 (6u43), ignorando 7u16 e 6u42 por motivos que não ficaram claros imediatamente.

A Oracle observa que o Java 6u43 será a última atualização disponível publicamente para o Java 6 e aconselha os usuários a atualizar para o Java 7. a disponibilidade pública de atualizações do Java 6 deveria terminar com o Java 6 Update 41, lançado em 19 de fevereiro, mas parece que a empresa abriu uma exceção para esse patch de emergência.

A vulnerabilidade do CVE-2013-1493 foi ativamente explorada por atacantes desde pelo menos quinta-feira passada, quando pesquisadores da empresa de segurança FireEye descobriram ataques usando-o para instalar um pedaço de malware de acesso remoto chamado McRAT. No entanto, parece que a Oracle estava ciente da existência dessa falha desde o início de fevereiro.

“Embora recentemente tenham sido recebidos relatórios de exploração ativa da vulnerabilidade CVE-2013-1493, esse bug foi originalmente relatado à Oracle em 1º de fevereiro de 2013. infelizmente, tarde demais para ser incluído na versão de 19 de fevereiro do Critical Patch Update para Java SE ”, disse Eric Maurice, diretor de garantia de software da Oracle, em um post na segunda-feira.

A empresa planejava corrigir CVE-2013- 1493 no próximo Java Critical Patch Update agendado em 16 de abril, disse Maurice. No entanto, como a vulnerabilidade começou a ser explorada por invasores, a Oracle decidiu lançar um patch mais cedo.

As duas vulnerabilidades abordadas com as atualizações mais recentes não afetam o Java sendo executado em servidores, aplicativos de desktop Java independentes ou aplicativos Java integrados Maurice disse. Os usuários são aconselhados a instalar os patches assim que possível, disse ele.

Os usuários podem desabilitar o suporte para conteúdo Java baseado na Web na guia de segurança no painel de controle Java, caso não precisem do Java na Web. As configurações de segurança para esse conteúdo são definidas como alta por padrão, ou seja, os usuários são solicitados a autorizar a execução de miniaplicativos Java não assinados ou assinados internamente nos navegadores.

Isso é projetado para evitar a exploração automatizada de vulnerabilidades Java. Web, mas só funciona se os usuários forem capazes de tomar decisões informadas sobre quais applets autorizar e quais não. “Para se proteger, os usuários de desktop devem permitir apenas a execução de applets quando esperam tais applets e confiam em sua origem”, disse Maurice.