Proponha uma correção, faça uma sugestão
Bug crítico no Java permite poderosos ataques browser based…
…Em versões antigas e na penúltima versão.
Por Hélder Ferreira para o PPLWARE.COM
Quando falamos em segurança web ou em segurança informática, falamos de um assunto critico e que requer a maior atenção de todos os utilizadores da internet ou das novas tecnologias.
Já desde há muito tempo que se conhece os erros técnicos e profissionais na criação das versões do Java e que leva a aparecerem bugs muito graves ou críticos, e desta vez não foi exceção e apareceu uma nova falha critica ou muito critica (CVE-2012-0507) que proporciona aos hackers injetarem exploits ou malwares com o intuito de controlar a máquina alvo para os demais fins, desde roubo de dados até tornar a nossa máquina num zombie (bot), através de um bug que permite contornar a segurança da maquina virtual (sandbox) do Java.
A falha permite, essencialmente, que os meliantes possam neutralizar o funcionamento da sandbox e deixar passar todo e qualquer tipo de aplicações ou código Java. O Java é um software multiplataforma igualmente como a maior parte do código Java, o que proporciona a propagação massiva de malwares por esta falha noutras plataformas.
Num relatório feito por Brian Krebs do KrebsonSecurity, este exploit está englobado no pack BlackHole Exploit Kit, um pack muito conhecido por conter poderosos exploits para explorar e aproveitar falhas deste software.
Também a Microsoft’s Malware Protection Center não poderia deixar de ter uma palavra sobre este assunto e na semana passada lançou um alerta em que relatou que as novas amostras deste novo malware que foram surgindo são altamente poderosas e muito eficazes na exploração desta falha, tendo incluído no seu código o conhecido e muito poderoso ZeuS Trojan (PWS:Win32/Zbot.gen!Y).
De acordo com dados da gigante Oracle, o Java está presente em mais de 3 biliões de sistemas em todo o mundo, mas na verdade a maior parte das pessoas que têm este poderoso software instalado, não o usam ou simplesmente usam-no para situações específicas e como é normal, sempre que sai novos updates deste software aparecem sempre novas falhas e novos exploits 0day poderosos para explorar estas vulnerabilidades.
No dia 28 de Março, também Marcus Carey, um especialista em investigação de segurança da Rapid7, adicionou mais algumas perspetivas sobre a gravidade desta situação:
Sempre que um exploit, como por exemplo o CVE-2012-0507, é adicionado a um kit de exploits, é um caso muito preocupante.
Em base da Rapid7, 60 a 80% dos computadores que têm o Java instalado, estão vulneráveis a este ataque por não fazerem atualização do software. Vendo as coisas a longo termo, acima de 60% das instalações do Java nunca são atualizadas, o que faz com que qualquer exploit existente para o Java possa ser executado e comprometer as máquinas.
A Rapid7 investigou o ciclo de atualizações do Java e concluíram que durante o primeiro mês do patch, a atualização é menor que 10%, depois de dois meses, é de aproximadamente 20% e após três meses, pouco mais de 30. A taxa de atualização realizada durante o ano passado, passados três meses após o lançamento do update, ficou-se pelos 38%.
Desde que o ultimo patch foi disponibilizado, no dia 15 de Fevereiro de 2012, só cerca de 10% fizeram actualização.
Em nota pessoal, recomendo que quem tenha o Java instalado, que o desinstale ou que o desative, se usa o software por questões profissionais, recomendo que faça sempre atualização para o último patch disponibilizado. Para quem precisa do Java, que verifique se tem a última actualização instalada, Java Detect.
Pergunta: Quem tem o Java instalado, o que vai fazer perante estas ameaças constantes incluindo a esta última?
Este artigo tem mais de um ano
Loading ...
Engraçado que o java está sempre a pedir-me pra fazer actualização, eu aceito e dá erro. Vou fazer o update à mão fazendo o download e diz que está actualizada a última versão.
O Flash e o Java são uma porta de entrada de problemas que nunca mais acaba
Tal como qualquer outro software…
Não percebo como é que os developers ainda usam flash 🙂 Steve Jobs tinha razão!
Lol, se n defendesses a tua dama, hehe…
Eu também pensava assim, mas a verdade é que há sistemas que se fazem melhor em Flash do que em Applets java, por exemplo, ferramentas de comunicação em tempo real pelo browser
Há certamente tecnologias melhores ao Flash…O problema actualmente do flash é que não se ajusta aos dispositivos moveis
Sim, isso e verdade… Mas por exemplo, pegando no exemplo de alguns sites que oferecem video-conferencia aos utilizadores mas que querem que este tenha compatibilidade com IE 7/8… Aí diria q a melhor solução é Flash. É um plugin q muitos browsers reconhecem como seguro (embora que nao seja bem assim) e evitam com que o cliente tenha de instalar coisas que não conhece ou pode nem saber como…
Hélder, este bug é exclusivo do sistema Windows, certo?
Não tenho a certeza.
Contudo, como o Java é um software multiplataforma, o bug poderá estar presente para todas as plataformas.
É melhor actualizar ou desactivar.
“Unfortunately, there is still no update for the MacOSX operating systems. The Java versions available for Mac OS X 10.6 Snow Leopard and 10.7 Lion are from November last year. As these are based on Java SE 6 Update 29, Mac users may not be protected against the critical vulnerability and might be in danger of being exploited by criminals.”
http://techblog.avira.com/2012/03/29/critical-java-exploit-used-to-spread-malware/en/
@PapiMigas o Daiquiri já respondeu a essa dúvida.
Obrigado, assim também eu fico esclarecido. 🙂
Hum, eu fico na dúvida se este exploit será possível em linux, pela própria arquitectura do sistema operativo. O ataque via sandbox é possivel mas a execução de codigo malicioso para o s.o. obriga a inserir password pelo que só os mais “ingénuos” podem ser ludibriados.
Fico admirado por tb ser possível em mac.
@PapiMigas
A mesma situação aqui presente também está presente para Linux.
Apesar da arquitectura do sistema ser muito robusta, basta o malware estar já na máquina, que o que se pensa não ser possível ou pouco provável, pode acontecer.
Por acaso à dias fiz um scan ao portátil e o ESET detectou uma classe infectada na pasta do JAVA… será isso?
O que detectou?
Isto? Win32/Spy.Zbot.YW (variante detectada pelo ESET)
Não foi:
Java/Agent.EE trojan
afinal foram duas classes: Inc.class e b.class na pasta C:\Users\[nome_user]\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\6d01bc92-18bf9ac6
Introduz os ficheiros aqui neste site:
https://www.virustotal.com/
Depois mostra os links do relatório da verificação dos dois ficheiros…
Esse trojan é um trojan muito preocupante,trata-se de um TrojanDownloader.
também não é preciso desinstalar o java. basta desactivar, no browser que usam, o java.
“Já desde há muito tempo que se conhece os erros técnicos e profissionais na criação das versões do Java”
Dito como um verdadeiro Microsoft fanboy e das cenas .NET ou o que os valha… hehehe.
Fanboy?
É alguma mentira?
Desde praticamente que o Java apareceu que se tem conhecido criticos bugs, é a realidade, mas o que preocupa muito é que os utilizadores não fazem as actualizações devidamente e depois sujeitam-se a serem atacados.
Não fales do que não sabes, o java é muito bem conhecido pelos seus erros e exploits, tanto que eu evito instalar em qualquer sistema operativo que tenha.
Claro que tem bugs, mas tratarem o Java como se fosse a fonte absoluta de todos os vossos problemas e acusar de falta de profissionalismo quem o desenvolve, parece-me demais e extremista. Ainda por cima, dito por fanboys Microsoft – empresa que propaga bugs e falhas de segurança como nenhuma outra. Não tapem o sol com a peneira, por favor.
Para a ironia das ironias, era teres um Android e gostares de o valorizar em relação ao iPhone.
“Não fales do que não sabes”. Tu sabes? Aposto que sei mais do que tu poque sou developer Java há 3 anos.
Jack, calma, apesar de programares em Java há 3 anos, não sabes como são feitas as correcções dos bugs do Java.
O problema do Java já vem desde que foi criado, foram feitas más estruturas, e hoje, sempre que um bug aparece, a única coisa que pode resolver é remendar esse bug, mas ao remendarem esse bug, há sempre conflito de código, podem ser pequenos, mas para os hackers o que é pequeno pode-se tornar em algo muito grande.
O problema veio da Sun Microsystems que fizeram mal a estrutura do software, e agora reprogramar a estrutura de um software já tão desenvolvido, é uma enorme dor de cabeça.
Pode ser que a Oracle esteja reformular a estrutura do Java, mas por enquanto vai ter que manter os remendos para corrigir os bugs que vão aparecendo.
Não compares a Microsoft com a Sun, isto não tem nada a ver com fanboys, tem a ver com a realidade. E lá por programares em java, não quer dizer que saibas quais são os bugs do mesmo. Eu mesmo também já programei em java, por isso não vale a pena usares isso contra mim.
Sempre que actualizo o JAVA aparece uma mensagem a dizer que as actualizações já estão instaladas.Com os milhares de milhões de euros que estas empresas ganham não deviam ter pelo menos uma pessoa que percebe-se do assunto para que estas actualizações funcionassem melhor em vez de investirem centenas de milhões de euros em barcos á vela?
nao sei porque tanto alarido. Vulnerabilidades graves tem sido detectadas em muitos tipos de software….para nao falar de determinados sistemas operativos que sao uma verdadeira manta e retalhos cheias de graves buracos. Olhem para os inumeros bugs na plataforma .NET ! Se formos a falar disso entao nunca mais paramos. Resultado, perante este bug grave do Java, a solução é simplesmente actualizar !! Qual desisnstalar qual que ! Actualizem o JRE e tomem os devidos cuidados, como fazem com os vossos sistemas operativos por exemplo.
@Luis G., todos os softwares têm falhas, não há nenhum que não tenha, mas não comparemos a gravidade dos bugs do Java com os bugs do .NET, o grau de gravidade é completamente diferente.
O Java é um dos softwares mais poderosos, daí que um pequeno bug pode tornar-se num grande bug e numa gravidade de todo o tamanho.
mensalmente corro o “Patch my PC” e faço os updates todos mas pelo seguro vou correr o antivirus pelo sistema
Eu penso que o problema de update do Java reside no seu updater.
Além de ser muito invasivo: tem que se clicar no balão de aviso, depois dar autorização no UAC do Windows e fazer bastantes “nexts” – no final acabamos muito provavelmente por nos deparar com um erro qualquer!
Um exemplo: Nas escolas, os computadores são usados com contas limitadas. Além do java requerer autorização do administrador, um professor não vai estar a fazer “nexts” no meio de uma aula, para actualizar o programa.
Se querem que as pessoas actualizem o software, tornem esse processo mais fácil e rápido, pois o actual é inadmissivelmente lento, “complicado” (para as pessoas que não sabem como proceder face a um erro) e invasivo – Para um programa com tantas actualizações, estas deveriam ser como as do antivirus ou Windows Update. Simples.
Helder Ferreira ,
Boa noite , desde já muito obrigado por este teu alerta , em Linux penso que a situação será menos grave , visto o java ser fornecido pelos repositórios oficiais , isto evidentemente quem não pretenda instalar o Java proprietário que o pode fazer através dos backports , depois de ler o teu artigo , pesquisei pelos foruns de Linux e parece-me que quem tem o Java distribuído pelas distros não correrá esse risco , será assim ?? … desde já os meus agradecimentos .
Serva
Acabei de descobrir um bug no chrome.
Daqueles bugs que comprometem a segurança.
A google esta a pagar por relatar bugs? para onde se reporta?
Conta 😛
ZDI – Zero Day Initiative. Go. 🙂
MAS ISTO NÃO É NADA NOVO… AOS ANOS QUE ISSO E VULNERABILIDADE DE ATAQUES…
Verdade, tal como refiro no inicio do artigo, que casos destes já se conhecem há muito tempo.
Este bug é um bug recente, descoberto entre Outubro e Novembro do ano passado, e só em Fevereiro é que a Oracle lançou o update para corrigir o bug, contudo, nem todos tinham conhecimento e como tal não fizeram a actualização.
Quando se trata de segurança, nunca é demais alertar.
noticia ilegível. é favor escrever em português. a mania do acordo ortográfico agora é desculpa para meter analfabetos a escrever
Desculpa?
Se não sabes do que falas, não fales.
O acordo ortográfico por mais que não nos agrade tem de ser usado, pelo menos no meio informativo / jornalístico.
É curioso que vens para aqui reclamar do trabalho dos outros, mas não te vejo a fazer nada.
Boas Hélder, um excelente artigo.
Só faltava se calhar ajudar os Utentes dos Browseres menos experiêntes.
Como tal deixo aqui o meu pequeno contributo para quem tem FireFox:
Para ver e actualizar as extenções do Firefox é fazer o seguinte:
Com o FireFox aberto, carregar nas teclas “CTRL + SHIFT + A” do teclado. Abre-se uma janela nova com o “Gestor de Extras”. No lado esquerdo temos algumas opções de escolha, aqui escolham a opção “Plugins”. No topo onde aparecem os plugins, há uma opção como “link” escrito em castanho escuro tipo: “Verificar Plugins para ver se estão actualizados”. Aqui carregar no mesmo, e são redireccionados para a página da Mozilla onde a mesma procede a verificação, se os plugins estão actualizados ou não. Os que estão desactualizados e aparecem a vermelho, são os mais críticos e recomenda-se a sua actualização o mais rápido possível. Estes Actualizam-se com um clique na tecla: “Actualizar agora”. Os que aparecerem a amarelo, estao simplesmente desactualizados, e podem ser actualizados da mesma maneira. Os que estão a cinza, é sinal que a Mozilla não conhece o Plugin instalado, mas mesmo assim é disponibilizado uma verificação atravez da procura no motor de busca por uma versão mais recente (mas nem sempre com sucesso). Os que estão a verde, estes estão actualizados e não há motivo de preocupação.
Seria bom se alguém com outro browser também disponibiliza-se a forma correcta de actualizar.
Espero ter ajudado. Com os melhores cumprimentos
Eurico Pita
Ideia oportuna Eurico Pita.
Já guardei e em breve irei tratar desse assunto para os mais inexperientes na área.
Obrigado. 🙂
Massa!
OU:
http://java.com
Tenho o Java?
http://java.com/pt_BR/download/installed.jsp
OU
cmd
java -version
Em um site de download, semana passada…
Eis que me aparece esse bendito vírus…
Ainda não tinha visto esse nome, joguei no Google…
E leio sobre ele. Ainda bem que o Avira detectou, na mesma hora bloqueei.
Java é um problema, só recomendo usar se for indispensável.
Atualize o seu plugin:
http://java.com/
http://www.adobe.com/software/flash/about/
http://www.oracle.com/technetwork/topics/security/javacpufeb2012verbose-366319.html
Hélder, obrigado pela informação.
Podes só informar-me das fontes da noticia p.f ?
Por exemplo, da Microsoft Malware Protection a informação que detecto desse vírus é de 2010.
Peço desculpa pelo lapso, de 2011.
É, portanto, uma coisa antiga sendo assim ?
Que versões de java contém a vulnerabilidade ? Quais recentes já estão corrigidas ?
obrigado
Esta vulnerabilidade foi descoberta entre Novembro e Outubro do ano passado (2011), situação muito recente.
Todas as versões menos a ultima que saiu em Fevereiro deste ano (Java Version 6 Update 31).
Quem já tiver esta versão, a situação está controlada, vamos é la saber até quando.
CVE-2012-0507
Vulnerability in the Java Runtime Environment component of Oracle Java SE (subcomponent: Concurrency). Supported versions that are affected are 7 Update 2 and before, 6 Update 30 and before and 5.0 Update 33 and before. Easily exploitable vulnerability allows successful unauthenticated network attacks via multiple protocols. Successful attack of this vulnerability can result in unauthorized update, insert or delete access to some Java Runtime Environment accessible data as well as read access to a subset of Java Runtime Environment accessible data and ability to cause a partial denial of service (partial DOS) of Java Runtime Environment.
Note: Applies to client deployments of Java. This vulnerability can be exploited only through Untrusted Java Web Start applications and Untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.).
CVSS Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS V2 Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P). (legend) [Advisory]
http://www.oracle.com/technetwork/topics/security/javacpufeb2012verbose-366319.html
Vamos ver se eu entendi alguma coisa:
mesmo utilizando o Linux, se o cliente usa o JAVA é a probabilidade de o PC ser dominado por tal exploit?
Não é atoa que existe antivírus para o sistema Linux. mas mesmo com um antivírus um exploit poderá atacar a máquina aproveitando dos bugs do Java?
Então é isso. nada é perfeito, pode haver o mais forte porem não o mais imune a tudo..