Vulnerabilidade em código Java continua por corrigir

A falha é do tipo “zero-day” e afecta todos os PC. Para já, a única forma de protecção é desactivar o “plug-in” de Java nos browsers.

Uma vulnerabilidade de Java do tipo “zero-day” está ainda sem correcção e cibercriminosos está a aproveitá-la para desencadear ataques segundo vários fabricantes de tecnologia de segurança. Até a Oracle conseguir reagir e lançar uma correcção, os utilizadores poderão proteger as suas máquinas desactivando o “plug-in” Java nos browsers.

Um investigador de malware independente, de pseudónimo Kafeine, revelou esta quinta-feira  a existência da vulnerabilidade na Internet. A comunidade de hackers está a usar a falha para discretamente instalar malware nas máquinas dos utilizadores em ataques de  “drive-by”, quando os utilizadores entram em sites comprometidos.

Investigadores da empresa de segurança AlienVault também confirmaram que a vulnerabilidade pode ser aproveitada mesmo com uma instalação totalmente corrigida do Java 7. A ameaça utiliza truques similares para contornar as restrições de segurança do Java – um pacote de exploração do “plug-in” foi utilizado por cibercriminosos em Agosto de 2011, disse o gestor da AlienVaults Labs, Jaime Blasco num blog.

Actualização ainda não está  prevista
Fazendo a captação de pacotes de tráfego associado à nova vulnerabilidade, os investigadores da BitDefender foram capazes de detectar alguns ataques a 7 de Janeiro. No entanto, acreditam que os ataques provavelmente começaram no último dia dois ou três, segundo Bogdan Botezatu (BitDefender).

A vulnerabilidade é uma exemplo do tipo de falhas de segurança que decorrem da implantação insegura da API Reflection da Java, disse Adam Gowdiak, fundador da Secutiry Explotations – uma empresa de segurança polaca especializada na investigação de vulnerabilidades da Java. O vector de exploração usado no novo ataque já é conhecido pela Oracle acrescentou o especialista. Mas o fabricante precisa ainda de confirmar a vulnerabilidade e divulgar planos de correcções.

A próxima actualização crítica para o Java está programada para 19 de Fevereiro. A empresa não tem comentários adicionais para fazer no momento, segundo informou um porta-voz.

Quando confrontados com uma situação semelhante em Agosto, a Oracle decidiu sair do ciclo trimestral de correcções e libertou uma actualização de emergência. “Acho que a Oracle não irá lançar uma correcção extraordinária, sem investigar minuciosamente toda a extensão dos danos e garantir a qualidade da correcção”, disse Botezatu.

“A última vez que fizeram isso, em Agosto, a correcção acabou por abrir portas uma técnica de exploração semelhante para versões da Java anteriormente não vulneráveis. Essa foi uma importante lição e pode levar a um atraso no lançamento de uma correcção”.

Como se proteger

Os utilizadores devem desactivar o “plug-in” Java nos browsers dos seus computadores o mais rápido possível e mantê-los desactivados até uma correcção ser disponibilizada, disse Botezatu. Quem precisar de suporte para Java no browser em determinados sites deve permitir que o “plug-in” seja executado apenas nesses sites.

Para fazer isso, basta desabilitar o Java nas propriedades do browser, o que geralmente é feito na área “Opções da Internet – Avançadas” do browser.



  1. A vulnerabilidade é no Java 7. Porque não sugerir usar a versão 1.6?

Deixe um comentário

O seu email não será publicado