Início / Arquivos / Aplicativos e Software /

Oracle atualiza Java, mas duas novas falhas surgem

Pesquisador afirma que Oracle não corrigiu uma das falhas conhecidas

Paulo Higa

Por

Notícia
Achados do TB Achados do TB

As melhores ofertas,
sem rabo preso 💰

As coisas não estão indo muito bem para a Oracle. Menos de uma semana após a liberação de uma correção para uma grave falha de segurança no Java, pesquisadores descobriram duas novas vulnerabilidades no plugin. Após análises, especialistas em segurança criticaram a atualização para o Java 7 Update 11, dizendo que a Oracle corrigiu apenas uma das brechas conhecidas.

O pesquisador Adam Gowdiak, da Security Explorations, confirmou na lista de emails Full Disclosure que ainda é possível ultrapassar a barreira de proteção do Java na versão mais recente. Sem dar muitos detalhes, ele criou um exploit que usa duas vulnerabilidades diferentes do Java e enviou o código para a Oracle, que está analisando o problema.

Gowdiak disse ao Softpedia que só foi possível explorar a falha descoberta na semana passada porque a Oracle não corrigiu uma vulnerabilidade antiga, descoberta em agosto do ano passado — isso porque um grande pacote de correção foi liberado no mês de outubro. Uma brecha no MBeanInstantiator permite que um código malicioso seja executado com privilégios elevados, e ela ainda está presente.

Como sempre, a recomendação é desativar ou desinstalar o Java. Para quem ainda precisa dele, uma opção é usar dois navegadores: um com o Java desativado, para acessar sites em geral, e outro com o Java ativado, para acessar sites que exigem o plugin (como bancos). Quem usa Chrome também pode ativar o click-to-play, que executa um plugin somente quando o usuário autorizar.

Com informações: threatpost.