Pesquisadores encontram duas novas vulnerabilidades 0-day no Java

Uma empresa de segurança polonesa, conhecida por identificar vulnerabilidades do Java, relatou na segunda-feira (25/2) mais dois novos bugs no plug-in do software para navegadores.

Em sua página de status de bugs, a Security Explorations disse que enviou detalhes das falhas, incluindo o código prova de conceito de exploração à Oracle.

"Olhamos novamente o Java SE 7, liberado pela empresa em 19 de fevereiro", disse Adam Gowdiak, por e-mail. "Como resultado, identificamos outras duas questões de segurança que, quando combinadas, podem ser utilizadas com sucesso para ignorar completamente a sandbox (sistema de segurança) do software no ambiente do Java SE 7 Update 15 (1.7.0_15-b03)", e atacar browsers de máquinas que possuem o plug-in do software instalado.

As novas vulnerabilidades afetam apenas o Java 7, disse Gowdiak em outro e-mail. O Java 6, que a Oracle oficialmente não oferece mais suporte, não contém os erros.

A linguagem de programação tem enfrentado um número crescente de vulnerabilidades 0-day, erros que são explorados por criminosos antes que sejam corrigidos, ou mesmo de conhecimento do fornecedor. A Oracle foi obrigada a liberar patches de emergência duas vezes este ano para "tapar esses buracos".

O mais recente constrangimento da empresa surgiu depois de uma porção de relatos de que grandes empresas de tecnologia - incluindo Facebook, Apple e Microsoft - teriam sido atacadas por crackers que exploraram uma vulnerabilidade Java para sequestrar computadores pertencentes a seus engenheiros.

Esses ataques originaram de um fórum popular online para desenvolvedores iOS, iPhoneDevSDK, que cibercriminosos haviam comprometido previamente e, em seguida, realizaram ataques "drive-by" com exploits Java. "Ficamos realmente surpresos ao saber que tantas empresas de tecnologia tinham sido vítimas de uma vulnerabilidade de segurança do Java", disse Gowdiak. "Parece que os alertas sobre problemas de segurança com o software que temos visto desde abril de 2012 não foram ouvidos em todo o Vale do Silício".

Gowdiak se recusou a dar mais informações sobre o caso, já que ainda não há correção para a falha. Mas ele afirmou que a vulnerabilidade envolve a interface de programação do Java, a Reflection API.

Via: IDG Now