A Oracle liberou correções de emergência para duas vulnerabilidades
do Java no domingo (13/1). As ameaças representam um alto risco para os
usuários que costumam navegar na web.
A rapidez com que a empresa liberou a atualização pode ter sido
motivada porque dois kits de exploração já receberam o código para
explorar ao menos uma das vulnerabilidades, a CVE-2013-0422. O mesmo
pode ter ocorrido a códigos de ataque inseridos em sites que já possuem
outras vulnerabilidades.
"A Oracle recomenda que esse alerta de segurança seja aplicado o mais
rápido possível, porque essas brechas podem ser exploradas na rede e
estão disponíveis em diversas ferramentas de hacking", escreveu o
diretor de segurança da Oracle, Eric Oracle Maurice, no blog de segurança da
empresa.
Ambas as vulnerabilidades poderiam permitir que usuários fossem
atacados por um applet malicioso - uma aplicação Java que é
baixada de outro servidor e funciona se o usuário tiver o Java
instalado. Applets são embutidos em páginas da Web e executam no
navegador.
Se um usuário acessar um site comprometido com um kit de exploração,
um software malicioso pode ser baixado sem o conhecimento do usuário,
tornando este um dos tipos mais perigosos de ataques.
As plataformas de software afetadas são qualquer sistema que utiliza o
Java 7 (1.7, 1.7.0) por meio do Update 10, de acordo com um
comunicado da US-CERT (United States Computer Emergency Readiness
Team). Isso também inclui o Java Platform Standard Edition 7, Java SE
Development Kit e Java SE Runtime Environment.
A vulnerabilidade está "em como o Java 7 restringe as permissões de
applets, que permitem que um invasor execute comandos arbitrários no
sistema vulnerável", disse a US-CERT.
O segundo patch corrige uma vulnerabilidade (CVE-2012-3174) no Java que roda em browsers, disse a Oracle. Ela também pode ser explorada remotamente, enganando os usuários para que eles acessem um site comprometido.
Maurice observou que as correções também mudarão a configuração de segurança do Java para "alto" por padrão.
"A configuração de 'alta segurança' requer que o usuário autorize
expressamente a execução de applets que não são assinados ou são
autoassinados", escreveu ele. "Como resultado, os usuários desavisados
que visitam sites maliciosos serão previamente notificados de que um
applet será executado, assim o usuário poderá negar a execução do applet
potencialmente malicioso."
