A empresa de segurança polonesa, Security Explorations, relatou na segunda-feira (25/02), dois novos bugs do plugin do software para navegadores.
Em sua página de status de bugs a empresa disse que enviou detalhes das provas, incluindo uma prova de conceito de exploração.
"Olhamos novamente o Java SE 7, liberado pela empresa em 19 de fevereiro", disse Adam Gowdiak, por e-mail. "Como resultado, identificamos outras duas questões de segurança que, quando combinadas, podem ser utilizadas com sucesso para ignorar completamente a sandbox (sistema de segurança) do software no ambiente do Java SE 7 Update 15 (1.7.0_15-b03)", e atacar browsers de máquinas que possuem o plug-in do software instalado.
Vale ressaltar que a vulnerabilidade afeta apenas a versão 7 do Java.
Por ser uma tecnologia amplamente utilizada, o Java tem sido alvo constante de vulnerabilidade 0-day, que são aquelas exploradas antes que as correções sejam liberadas. Somente este ano (2013) a Oracle já liberou dois patches emergenciais para correção.
O mais recente constrangimento da empresa surgiu depois de uma porção de relatos de que grandes empresas de tecnologia - incluindo Facebook, Apple e Microsoft - teriam sido atacadas por crackers que exploraram uma vulnerabilidade Java para sequestrar computadores pertencentes a seus engenheiros.
Esses ataques originaram de um fórum popular online para desenvolvedores iOS, iPhoneDevSDK, que cibercriminosos haviam comprometido previamente e, em seguida, realizaram ataques "drive-by" com exploits Java. "Ficamos realmente surpresos ao saber que tantas empresas de tecnologia tinham sido vítimas de uma vulnerabilidade de segurança do Java", disse Gowdiak. "Parece que os alertas sobre problemas de segurança com o software que temos visto desde abril de 2012 não foram ouvidos em todo o Vale do Silício".
Gowdiak se recusou a dar mais informações sobre o caso, já que ainda não há correção para a falha. Mas ele afirmou que a vulnerabilidade envolve a interface de programação do Java, a Reflection API.
Nenhum comentário:
Postar um comentário