Um pesquisador do Google divulgou detalhes sobre um bug relacionado à linguagem Java (associado à virtual machine) que permite que crackers (criminosos da internet) rodem programas não autorizados em computadores remotos.
A vulnerabilidade foi anunciada na sexta (9/4) por Tavis Ormandy, que afirma já ter notificado a equipe da Sun/Oracle há algum tempo. “Eles me disseram que não consideram essa brecha suficientemente prioritária para alterar seu ciclo de atualização do trimestre”, afirmou Ormady. “Eu não concordo com eles”, completou.
A empresa liberou um grande pacote de atualizações na semana passada e só deve soltar um outro lote de correções em julho.
Segundo o especialista, a falha acontece porque a linguagem Java permite criar uma biblioteca nociva e determinar à JVM que a instale. Assim, um cracker pode rodar seu programa de ataque.
“A Oracle está cometendo um erro ao não corrigir esse bug imediatamente”, afirma Marc Maiffret, diretor da empresa de segurança FireEye. Segundo ele, o bug é preocupante porque ele se deve a uma falha de design do Java.
Apesar disso, os ataques baseados em Java ainda são raros. De acordo com o analista de segurança Russ Cooper, da Verizon, é mais provável que, em vez de desenvolverem um novo ataque explorando essa brecha, os criminosos prefiram explorar falhas mais conhecidas, como as do Adobe Reader.
A falha afeta as versões a partir da atualização Java SE 6 para Windows, afirma Ormandy. Segundo a Symantec, usuários de Linux também podem ser afetados.
Leia mais aqui
Nenhum comentário:
Postar um comentário