Oracle lança outra atualização Java corrigindo 50 vulnerabilidades

Após divulgação de vulnerabilidades por parte dos pesquisadores de segurança na última atualização do Java lançada em janeiro, a Oracle antecipou mais um pacote de correções para a linguagem de programação.

A atualização mais recente, originalmente prevista para fevereiro 19, contém 50 correções de segurança para 49 falhas que eram exploráveis ​​remotamente sem autorização. Isso significa que eles podem ser usados ​​em uma rede sem o conhecimento de um nome de usuário e senha.

A Oracle informou que ela foi atualizada antecipadamente porque uma das vulnerabilidades abordadas na atualização já está sendo explorada em estado selvagem.

[Outras leituras: Como remover malware do seu PC Windows]

"Devido à ameaça representada por um ataque bem-sucedido, a Oracle recomenda que os clientes apliquem as correções da CPU o mais rápido possível", avisou a empresa em um comunicado de atualização. uma correção de segurança para Java em janeiro, depois que a equipe de prontidão de emergência do computador do Departamento de Segurança Interna (US-CERT) recomendou que o software fosse desativado por todos os seus usuários devido a preocupações de segurança. Essas preocupações envolviam uma vulnerabilidade de dia zero sendo explorada por kits de ferramentas criados por cibercriminosos e usados ​​para roubar informações confidenciais de computadores.

Mesmo após o lançamento dessa correção, a agência ainda recomendava desligar o Java, a menos que usá-lo fosse absolutamente necessário.

Ficou rapidamente aparente que a correção 7u11 havia perdido sua marca. Poucos dias após seu lançamento, um hacker começou a vender no mercado negro on-line duas novas vulnerabilidades do Java Zero Day por US $ 5.000 cada.

Outros hackers, talvez sem habilidades para encontrar vulnerabilidades, começaram a explorar as manchetes sobre os problemas de Java expedições de phishing que oferecem atualizações falsas da linguagem de programação da Oracle. Após a instalação por um usuário, a atualização falsa instala uma porta traseira em um sistema que permite a um hacker controlá-la.

Falhas encontradas na atualização

Os infortúnios de Java continuaram quando, no final do mês, a Security Explorations, uma firma de segurança polonesa. um histórico de encontrar falhas de segurança em Java, descobriu novas vulnerabilidades na atualização 7u11 que poderiam ser exploradas para evitar a técnica de programação do sandbox do programa usada para isolar o dano que o código malicioso pode fazer para um sistema.

"Esses problemas continuarão até que a Oracle corrija o sandbox, "disse Bogdan Botezatu, analista sênior de ameaças eletrônicas da Bitdefender, em entrevista.

Botezatu criticava o quanto a Oracle confiava aos usuários para manter a segurança na atualização 7u11.

Por exemplo, a atualização define, por padrão, o nível de segurança mais alto para o Java. Nesse nível, sempre que um miniaplicativo Java não assinado tenta ser executado em um navegador, aparece uma mensagem alertando o usuário de que ele pode ser perigoso e que o usuário deve proceder por sua conta e risco.

Normalmente, os usuários ignoram esses avisos eles os acham irritantes. Isso é particularmente verdadeiro para crianças que jogam jogos Java na Web - um fato, Botezatu ressalta, não perdido com os desesperados digitais. "Já vi muitos sites que executam malware Java em páginas que foram otimizadas com palavras-chave direcionadas a crianças", disse ele.

Com a última atualização do Java, a Oracle pode estar tentando mudar sua sorte com o programa. Parece que ele pulou a atualização 12 em seu esquema de numeração e designou o pacote mais recente de correções Java 7 update 13.