terça-feira, 5 de março de 2013

Oracle corrige falha no Java e pesquisador acha mais 5 brechas

O Java recebeu mais uma atualização de segurança nesta segunda-feira (4). Na quinta atualização de segurança do ano, as mudanças corrigem brechas que já estavam em uso por hackers em ataques sofisticados contra organizações. As falhas podem ter relação com o ataque à empresa de segurança Bit9.Das cinco atualizações lançadas pela Oracle, desenvolvedora do Java, apenas uma estava prevista. Pelo calendário de atualizações da Oracle, o Java deveria receber uma atualização em janeiro de 2013. A próxima atualização só deveria ser lançada em abril. As vulnerabilidades publicadas, já em uso por hackers, forçaram a Oracle a disponibilizar atualizações emergenciais.
As brechas existem no plug-in do Java. As vulnerabilidades permitem burlar o isolamento de segurança no plug-in, que deveria impedir que o código Java executado em navegadores obtivesse acesso ao sistema do usuário. Sem a proteção, uma visita a um site que explora a falha é suficiente para infectar o sistema da vítima.

O Java 7 Atualização 17 já está disponível para download no site Java.com.

Outras cinco falhas
O pesquisador Adam Gowdiak, da Security Explorations, que vem descobrindo diversas falhas no Java, disse ter encontrado mais cinco vulnerabilidades no software.

Os erros foram identificados depois que a Oracle considerou inválida uma vulnerabilidade encontrada pelo pesquisador. Quando Gowdiak foi investigar os argumentos da Oracle, ele descobriu mais problemas.

Nenhum detalhe técnico foi revelado. De acordo com Gowdiak, a Oracle já recebeu as informações e um código que demonstra como é possível explorar as vulnerabilidades para atacar as versões mais recentes do Java.

Java
Java é uma linguagem de programação que permite criar softwares que podem ser executados em sistemas operacionais diversos sem a necessidade de adaptar o código para cada plataforma.

O Java também pode ser executado em navegadores de internet por meio de um plug-in que é instalado junto com o Java. O plug-in limita a capacidade do código Java executado pelos navegadores, de modo a não representar risco ao internauta. No entanto, falhas de segurança permitem a hackers burlar essa proteção, executando códigos maliciosos.

Como desativar o Java
No Java 7 é possível desativar o Java pelo Painel de Controle, na opção "Java".  Na aba Segurança, deixe o nível de segurança em “Muito Alta”. Para desativar o Java em todos os navegadores definitivamente, desmarque a caixa “Ativar conteúdo Java no browser”.

No Java 6 e em algumas instalações incorretas do Java 7, as opções podem não estar disponíveis. Veja como desativar o Java no Java 6 ou apenas em navegadores específicos.

Como atualizar o Java
Nos sistemas operacionais Windows Vista e 7 será preciso autorizar um aviso do Controle de Contas de usuário (UAC) quando aparecer um aviso sobre o "jusched". Depois disso, é preciso clicar no ícone do Java que ficará na barra do relógio (o ícone poderá estar escondido).

Na tela que aparece é preciso clicar em "instalar" e, na tela seguinte, "instalar" mais uma vez. Haverá ainda outra tela em que o Java sugere a instalação do "Ask Toolbar". Este software não faz parte do Java, portanto, é preciso desmarcar a caixa de instalação (ela vem marcada por padrão) e clicar em "Próximo".  Só então começará o processo de atualização do Java.

Se você desativou o Java manualmente em seu navegador web, pode ser necessário desativá-lo novamente, porque o instalador reativa o plug-in.
G-1...SNB

Arquivo do blog segurança nacional