A Oracle lança novas correções Java, acelera o ciclo de atualizações

A Oracle lançou novas atualizações de segurança Java na terça-feira e anunciou planos para acelerar o lançamento dos futuros patches Java após ataques recentes que infectaram computadores com malware, explorando vulnerabilidades de dia zero em plug-ins de navegador Java.

As novas atualizações, Java 7 Update 15 e Java 6 Update 41, abordam cinco vulnerabilidades adicionais que não puderam ser incluídas na atualização Java de emergência que a Oracle lançou em 1 de fevereiro devido a restrições de tempo. Na época, a Oracle interrompeu seu ciclo de patches Java programado de 4 meses para corrigir uma vulnerabilidade que estava sendo ativamente explorada por hackers.

Quatro das cinco vulnerabilidades abordadas nas atualizações de terça-feira podem ser exploradas por meio do Java Web Start. aplicativos em desktops e applets Java em navegadores de Internet, Eric Maurice, diretor de garantia de software da Oracle, disse terça-feira em um post

[Leia mais: Como remover malware do seu PC Windows]

Três dessas quatro vulnerabilidades receberam a classificação mais alta na escala Common Vulnerability Scoring System - 10 - o que significa que são críticos e podem ser explorados para comprometer completamente a confidencialidade, integridade e disponibilidade de sistemas em que o Java é executado com privilégios de administrador, como o Windows XP. Nos sistemas em que o Java não é executado com privilégios administrativos, como Linux ou Solaris, o impacto é menor, disse Maurice.

A quinta vulnerabilidade afeta as implantações de servidor do Java Secure Socket Extension (JSSE) e provém do ataque Lucky Thirteen. contra as implementações de SSL / TLS que os pesquisadores de segurança divulgaram no início deste mês.

Embora o novo Java 6 Update 41 esteja disponível para download no site da Oracle, ele não está disponível em Java.com e deve ser obtido manualmente. O recurso de atualização nas instalações do Java 6 solicitará que os usuários baixem e instalem o Java 7 Update 15.

Essa foi uma mudança planejada da Oracle, que anunciou anteriormente em suas redes que "iniciaria a atualização automática de todos os usuários de 32 bits do Windows". JRE 6 para JRE 7 com o release de atualização do Java, Java SE 7 Atualização 15 (Java SE 7u15), previsto para fevereiro de 2013. "

O Oracle acelerará seu ciclo de patches para Java. "A intenção da Oracle é continuar acelerando o lançamento de correções Java, particularmente para ajudar a abordar o grau de segurança do Java Runtime Environment (JRE) em navegadores de desktop", disse Maurice.

A próxima Atualização Crítica programada para Java SE será será lançado em 16 de abril, dois meses a partir de agora, em vez de quatro, e virá ao mesmo tempo que a Atualização de Patch Crítico para os produtos não-Java da Oracle. A próxima atualização de patch Java depois disso está agendada para 18 de junho.