PplWare Mobile

Bug crítico no Java permite poderosos ataques browser based…

                                    
                                

Este artigo tem mais de um ano


Autor: Vítor M.


  1. Miguel says:

    Engraçado que o java está sempre a pedir-me pra fazer actualização, eu aceito e dá erro. Vou fazer o update à mão fazendo o download e diz que está actualizada a última versão.

  2. José Fonseca says:

    O Flash e o Java são uma porta de entrada de problemas que nunca mais acaba

  3. PapiMigas says:

    Hélder, este bug é exclusivo do sistema Windows, certo?

    • Hélder Ferreira says:

      Não tenho a certeza.
      Contudo, como o Java é um software multiplataforma, o bug poderá estar presente para todas as plataformas.

      É melhor actualizar ou desactivar.

      • Daiquiri says:

        “Unfortunately, there is still no update for the MacOSX operating systems. The Java versions available for Mac OS X 10.6 Snow Leopard and 10.7 Lion are from November last year. As these are based on Java SE 6 Update 29, Mac users may not be protected against the critical vulnerability and might be in danger of being exploited by criminals.”

        http://techblog.avira.com/2012/03/29/critical-java-exploit-used-to-spread-malware/en/

        • Hélder Ferreira says:

          @PapiMigas o Daiquiri já respondeu a essa dúvida.

          Obrigado, assim também eu fico esclarecido. 🙂

          • PapiMigas says:

            Hum, eu fico na dúvida se este exploit será possível em linux, pela própria arquitectura do sistema operativo. O ataque via sandbox é possivel mas a execução de codigo malicioso para o s.o. obriga a inserir password pelo que só os mais “ingénuos” podem ser ludibriados.
            Fico admirado por tb ser possível em mac.

          • Hélder Ferreira says:

            @PapiMigas
            A mesma situação aqui presente também está presente para Linux.

            Apesar da arquitectura do sistema ser muito robusta, basta o malware estar já na máquina, que o que se pensa não ser possível ou pouco provável, pode acontecer.

  4. rodasp says:

    Por acaso à dias fiz um scan ao portátil e o ESET detectou uma classe infectada na pasta do JAVA… será isso?

  5. João Cardoso says:

    também não é preciso desinstalar o java. basta desactivar, no browser que usam, o java.

  6. Jack says:

    “Já desde há muito tempo que se conhece os erros técnicos e profissionais na criação das versões do Java”

    Dito como um verdadeiro Microsoft fanboy e das cenas .NET ou o que os valha… hehehe.

    • Hélder Ferreira says:

      Fanboy?
      É alguma mentira?
      Desde praticamente que o Java apareceu que se tem conhecido criticos bugs, é a realidade, mas o que preocupa muito é que os utilizadores não fazem as actualizações devidamente e depois sujeitam-se a serem atacados.

    • Jose says:

      Não fales do que não sabes, o java é muito bem conhecido pelos seus erros e exploits, tanto que eu evito instalar em qualquer sistema operativo que tenha.

      • Jack says:

        Claro que tem bugs, mas tratarem o Java como se fosse a fonte absoluta de todos os vossos problemas e acusar de falta de profissionalismo quem o desenvolve, parece-me demais e extremista. Ainda por cima, dito por fanboys Microsoft – empresa que propaga bugs e falhas de segurança como nenhuma outra. Não tapem o sol com a peneira, por favor.

        Para a ironia das ironias, era teres um Android e gostares de o valorizar em relação ao iPhone.

        “Não fales do que não sabes”. Tu sabes? Aposto que sei mais do que tu poque sou developer Java há 3 anos.

        • Hélder Ferreira says:

          Jack, calma, apesar de programares em Java há 3 anos, não sabes como são feitas as correcções dos bugs do Java.

          O problema do Java já vem desde que foi criado, foram feitas más estruturas, e hoje, sempre que um bug aparece, a única coisa que pode resolver é remendar esse bug, mas ao remendarem esse bug, há sempre conflito de código, podem ser pequenos, mas para os hackers o que é pequeno pode-se tornar em algo muito grande.

          O problema veio da Sun Microsystems que fizeram mal a estrutura do software, e agora reprogramar a estrutura de um software já tão desenvolvido, é uma enorme dor de cabeça.

          Pode ser que a Oracle esteja reformular a estrutura do Java, mas por enquanto vai ter que manter os remendos para corrigir os bugs que vão aparecendo.

        • Jose says:

          Não compares a Microsoft com a Sun, isto não tem nada a ver com fanboys, tem a ver com a realidade. E lá por programares em java, não quer dizer que saibas quais são os bugs do mesmo. Eu mesmo também já programei em java, por isso não vale a pena usares isso contra mim.

  7. Rally says:

    Sempre que actualizo o JAVA aparece uma mensagem a dizer que as actualizações já estão instaladas.Com os milhares de milhões de euros que estas empresas ganham não deviam ter pelo menos uma pessoa que percebe-se do assunto para que estas actualizações funcionassem melhor em vez de investirem centenas de milhões de euros em barcos á vela?

  8. Luis G. says:

    nao sei porque tanto alarido. Vulnerabilidades graves tem sido detectadas em muitos tipos de software….para nao falar de determinados sistemas operativos que sao uma verdadeira manta e retalhos cheias de graves buracos. Olhem para os inumeros bugs na plataforma .NET ! Se formos a falar disso entao nunca mais paramos. Resultado, perante este bug grave do Java, a solução é simplesmente actualizar !! Qual desisnstalar qual que ! Actualizem o JRE e tomem os devidos cuidados, como fazem com os vossos sistemas operativos por exemplo.

    • Hélder Ferreira says:

      @Luis G., todos os softwares têm falhas, não há nenhum que não tenha, mas não comparemos a gravidade dos bugs do Java com os bugs do .NET, o grau de gravidade é completamente diferente.

      O Java é um dos softwares mais poderosos, daí que um pequeno bug pode tornar-se num grande bug e numa gravidade de todo o tamanho.

  9. João Ramiro says:

    mensalmente corro o “Patch my PC” e faço os updates todos mas pelo seguro vou correr o antivirus pelo sistema

  10. Emannxx says:

    Eu penso que o problema de update do Java reside no seu updater.

    Além de ser muito invasivo: tem que se clicar no balão de aviso, depois dar autorização no UAC do Windows e fazer bastantes “nexts” – no final acabamos muito provavelmente por nos deparar com um erro qualquer!

    Um exemplo: Nas escolas, os computadores são usados com contas limitadas. Além do java requerer autorização do administrador, um professor não vai estar a fazer “nexts” no meio de uma aula, para actualizar o programa.

    Se querem que as pessoas actualizem o software, tornem esse processo mais fácil e rápido, pois o actual é inadmissivelmente lento, “complicado” (para as pessoas que não sabem como proceder face a um erro) e invasivo – Para um programa com tantas actualizações, estas deveriam ser como as do antivirus ou Windows Update. Simples.

  11. Serva says:

    Helder Ferreira ,

    Boa noite , desde já muito obrigado por este teu alerta , em Linux penso que a situação será menos grave , visto o java ser fornecido pelos repositórios oficiais , isto evidentemente quem não pretenda instalar o Java proprietário que o pode fazer através dos backports , depois de ler o teu artigo , pesquisei pelos foruns de Linux e parece-me que quem tem o Java distribuído pelas distros não correrá esse risco , será assim ?? … desde já os meus agradecimentos .

    Serva

  12. pt says:

    Acabei de descobrir um bug no chrome.
    Daqueles bugs que comprometem a segurança.
    A google esta a pagar por relatar bugs? para onde se reporta?

  13. XIKOXAKXOLAS says:

    MAS ISTO NÃO É NADA NOVO… AOS ANOS QUE ISSO E VULNERABILIDADE DE ATAQUES…

    • Hélder Ferreira says:

      Verdade, tal como refiro no inicio do artigo, que casos destes já se conhecem há muito tempo.

      Este bug é um bug recente, descoberto entre Outubro e Novembro do ano passado, e só em Fevereiro é que a Oracle lançou o update para corrigir o bug, contudo, nem todos tinham conhecimento e como tal não fizeram a actualização.

      Quando se trata de segurança, nunca é demais alertar.

  14. luis santos says:

    noticia ilegível. é favor escrever em português. a mania do acordo ortográfico agora é desculpa para meter analfabetos a escrever

    • Hélder Ferreira says:

      Desculpa?
      Se não sabes do que falas, não fales.
      O acordo ortográfico por mais que não nos agrade tem de ser usado, pelo menos no meio informativo / jornalístico.

      É curioso que vens para aqui reclamar do trabalho dos outros, mas não te vejo a fazer nada.

  15. Eurico Pita says:

    Boas Hélder, um excelente artigo.

    Só faltava se calhar ajudar os Utentes dos Browseres menos experiêntes.

    Como tal deixo aqui o meu pequeno contributo para quem tem FireFox:
    Para ver e actualizar as extenções do Firefox é fazer o seguinte:
    Com o FireFox aberto, carregar nas teclas “CTRL + SHIFT + A” do teclado. Abre-se uma janela nova com o “Gestor de Extras”. No lado esquerdo temos algumas opções de escolha, aqui escolham a opção “Plugins”. No topo onde aparecem os plugins, há uma opção como “link” escrito em castanho escuro tipo: “Verificar Plugins para ver se estão actualizados”. Aqui carregar no mesmo, e são redireccionados para a página da Mozilla onde a mesma procede a verificação, se os plugins estão actualizados ou não. Os que estão desactualizados e aparecem a vermelho, são os mais críticos e recomenda-se a sua actualização o mais rápido possível. Estes Actualizam-se com um clique na tecla: “Actualizar agora”. Os que aparecerem a amarelo, estao simplesmente desactualizados, e podem ser actualizados da mesma maneira. Os que estão a cinza, é sinal que a Mozilla não conhece o Plugin instalado, mas mesmo assim é disponibilizado uma verificação atravez da procura no motor de busca por uma versão mais recente (mas nem sempre com sucesso). Os que estão a verde, estes estão actualizados e não há motivo de preocupação.

    Seria bom se alguém com outro browser também disponibiliza-se a forma correcta de actualizar.

    Espero ter ajudado. Com os melhores cumprimentos

    Eurico Pita

  16. Carlos Silva says:

    Em um site de download, semana passada…

    Eis que me aparece esse bendito vírus…

    Ainda não tinha visto esse nome, joguei no Google…
    E leio sobre ele. Ainda bem que o Avira detectou, na mesma hora bloqueei.

  17. Samuel Gomes says:

    Hélder, obrigado pela informação.

    Podes só informar-me das fontes da noticia p.f ?

    Por exemplo, da Microsoft Malware Protection a informação que detecto desse vírus é de 2010.

    • Samuel Gomes says:

      Peço desculpa pelo lapso, de 2011.

      É, portanto, uma coisa antiga sendo assim ?
      Que versões de java contém a vulnerabilidade ? Quais recentes já estão corrigidas ?

      obrigado

      • Hélder Ferreira says:

        Esta vulnerabilidade foi descoberta entre Novembro e Outubro do ano passado (2011), situação muito recente.
        Todas as versões menos a ultima que saiu em Fevereiro deste ano (Java Version 6 Update 31).

        Quem já tiver esta versão, a situação está controlada, vamos é la saber até quando.

  18. Campachi says:

    CVE-2012-0507

    Vulnerability in the Java Runtime Environment component of Oracle Java SE (subcomponent: Concurrency). Supported versions that are affected are 7 Update 2 and before, 6 Update 30 and before and 5.0 Update 33 and before. Easily exploitable vulnerability allows successful unauthenticated network attacks via multiple protocols. Successful attack of this vulnerability can result in unauthorized update, insert or delete access to some Java Runtime Environment accessible data as well as read access to a subset of Java Runtime Environment accessible data and ability to cause a partial denial of service (partial DOS) of Java Runtime Environment.

    Note: Applies to client deployments of Java. This vulnerability can be exploited only through Untrusted Java Web Start applications and Untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.).

    CVSS Base Score 7.5 (Confidentiality, Integrity and Availability impacts). CVSS V2 Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P). (legend) [Advisory]

    http://www.oracle.com/technetwork/topics/security/javacpufeb2012verbose-366319.html

  19. Vamos ver se eu entendi alguma coisa:
    mesmo utilizando o Linux, se o cliente usa o JAVA é a probabilidade de o PC ser dominado por tal exploit?

    Não é atoa que existe antivírus para o sistema Linux. mas mesmo com um antivírus um exploit poderá atacar a máquina aproveitando dos bugs do Java?

    Então é isso. nada é perfeito, pode haver o mais forte porem não o mais imune a tudo..

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.