Proponha uma correção, faça uma sugestão
PERIGO: exploit no JAVA leva a grave brecha de segurança
Alertados pelo nosso leitor José Pinto da notícia publicada no The Register, ficamos a saber que anda à solta um novo exploit de JAVA que pode afectar os utilizadores via explorador de Internet, permitindo a terceiros com intenções maliciosas de executar código arbitrário. Infelizmente, devido ao cronograma de actualizações da Oracle, poderá demorar algum tempo até ser lançada uma correcção eficaz para este problema, prevista somente para o próximo dia 16 de Outubro. A solução para já? Por precaução desactivar o JAVA....
Esta vulnerabilidade pode ser encontrada a partir da versão do Java Runtime Environment (JRE) 1.7 e seguintes. Todas as versões inferiores, como a 1.6 e seguintes decrescentes não apresentam qualquer risco, até ao momento ou pelo menos assim afirma Atif Mushtaq do departamento de segurança da FireEye, empresa responsável pelo anúncio desta falha no passado Domingo. Para os utilizadores mais alarmados continuam as más notícias: fazer o downgrade para uma versão anterior do Java não se aconselha, pois as versões anteriores apesar de não vulneráveis a este exploit em particular contém outros erros tão ou mais graves.
Para melhor entendermos o grave alcance desta falha fica uma breve explicação: ao ficarmos expostos através do JAVA damos aos atacantes a possibilidade de utilizar uma página web «manipulada» e assim forçar o nosso sistema a descarregar e executar um código aleatório, como pode ser o caso de um um keylogger ou algum outro tipo de malware que terceiros assim pretendam. O curioso é que o código que descarregamos sem o nosso conhecimento não é necessariamente uma aplicação JAVA, sendo neste momento um executável compatível com Windows. Ao tratar-se de um executável conclui-se temporariamente que o exploit apenas pode ser utilizado através de sistemas operativos Windows, contudo existe a forte possibilidade de se poder alastrar futuramente aos restantes sistemas operativos como o Linux ou Mac.
É muito importante saber que NÃO EXISTE qualquer excepção a nível de explorador de internet, isto é, todos os actuais exploradores, como o IE, Google, FireFox, Opera, Safari, etc, etc ficaram expostos pelo que não vale sequer a pena tentar mudar de explorador. Ainda segundo o The Register "a fonte real desta exploração ainda não é conhecida e foi originalmente descoberto num servidor com um nome de domínio que reencaminha para um endereço IP localizado na China. O malware instalado em sistemas comprometidos tentou conectar-se com um servidor de comando-e-controlo localizado em Singapura."
Quanto à legítima proprietária do JAVA, um dos sistemas mais utilizados em todo o mundo especialmente via navegadores, a Oracle, ainda não existe qualquer comentário ou declaração sobre o sério assunto sobre a questão desta vulnerabilidade. Resta nada mais do que aguardar pela sensata decisão de actualização o mais rápido possível. Já a nível não oficial, foi possível encontrar no site DeepEndResearch um patch não oficial temporário (que pode descarregar AQUI) e que nos pode ajudar, de momento, a resolver este problema. Se desejam fazer antes um teste sobre a vossa vulnerabilidade de exposição ou não a este problema podem visitar ESTE SITE.
De qualquer das formas, pessoalmente, recomendo que enquanto não saia a versão oficial de resolução do problema o procedimento ideal seja mesmo desactivar o JAVA.
Este artigo tem mais de um ano
Loading ...
Sem dúvida uma noticia fundamental para todos os utilizadores.
Apesar de ser descrito como desactivar o java nos vários browsers num dos sites colocados como link, acho que a noticia ficava ainda mais completa se fornecessem também essas indicações directamente.
+ 1
+ 1
Daniel, apesar de gostarmos da participação e interacção com os nossos leitores,teria sido mais fácil deixar aqui a dica nos comentários ao invés de fazer somente o reparo.
No entanto aqui fica:
Para aplicar o patch manualmente basta ir à pasta de instalação do JAVA 7 e, dentro da pasta LIB, criar uma pasta com o nome ENDORSED. De seguida copiar para dentro dessa pasta o patch que poderão fazer download aqui: http://205.196.120.65/eu6wuaqcey1g/77f649zqu902xw6/Java7ZeroDay.zip . Este patch vem zipado pelo que devem descomprimir o conteúdo e somente depois coloca-lo dentro.
Eu referi-me ao desactivar o java nos browsers, não ao aplicar o patch. Eu, pessoalmente, sinto-me mais confortável a aplicar apenas a actualização quando esta for oficial.
No entanto, para futuros interessados, fica também aqui o link que mencionei no meu comentário anterior:
http://research.zscaler.com/2012/08/are-you-vulnerable-to-latest-java-0-day.html
Java desactivado.
+20
Como se desativa o java no chrome?
Aqui abaixo o comentário do Hilário explica tudo… 😉
…Ou talvez não! No entanto fica aqui a dica:
Chrome: aceder ao url chrome://plugins/ –> Java desacivar plugin
Firefox: Menu “Firefox” -> Extras -> Plugin -> Desactivar Java
Internet Explorer (9): Icon roda dentada(definições) -> Seleccionar barra lateral “Barra de Ferramentas e Extensões” -> Selecionar Java e clicar em desactivar.
É assim:
Uso 99,999€ o Firefox.
Fiz normalmente como explica o site e com explicas aqui mas, na pagina de teste ( http://zulu.zscaler.com/research/java_version.html ) da-me sempre que estou vulneravel.
Já desactivei o Java console nos plugins mas tá sempre a dizer-me que tenho o Java instalado e estou vulneravel.
Boa tarde e não esquecer que no Linux o Wine instala neste momento a maior parte dos executáveis de Windows o que ainda torna mais Universal esta falha de segurança .
Já estava no tempo da Oracle rever as continuas brechas de segurança que têm sido constantes colocando em perigo milhões de internautas e com graves prejuízos para os mesmos .
Eu no meu caso vou desinstalar o Java proprietário e vou instalar o compilado pela comunidade , aconselho todos os utilizadores de Linux que caso não queiram como é sugerido no artigo desactivar o Java usem o pacote não proprietário .
Aceitem os meus sinceros cumprimentos
Serva
Muito provavelmente esse Java também tem esse erro Serva.
Provavelmente não tem esse exploit, mas mesmo que tenha temos acesso a um update com uma correcção bem mais rápido 😉
só uso o open é o que vem com o Ubuntu e como trabalha bem para as minhas necessidades, não o troco 🙂
Tudo isso é discutível nem eu nem tu sabemos ao certo se é verdade ou não, eu apenas pressupus que tendo esse a base do java da sun tivesse herdade os mesmos problemas (o que me parece que até poderá ser porventura uma ideia lógica), mas se não tem ainda bem…só mostra o bom (mau) trabalho que a oracle faz neste segmento. No entanto concordo contigo na questão das actualizações.
provas do que disse:
Java installed & enabled: No
Are you vulnerable to the latest 0-day exploit: No
🙂
Boa tarde ,
Penso que não terá , mas vou tentar saber .
Cumprimentos
Serva
Are you vulnerable to the latest 0-day exploit: No
Acho que ainda tenho o 1.6 😐
Deixo aqui como desactivar no Google Chrome:
Ir a Definições < Definições Avançadas < Na secção Privacidade, clicar em Definições de Conteúdo < Na janela que abrir marque a opção "Não permitir que os sites executem JavaScript"
JavaScript e Java são duas coisas bem diferentes! Isso não resolve nada!
Completamente errado…
Sigam estes passos: http://research.zscaler.com/2012/08/are-you-vulnerable-to-latest-java-0-day.html
O Java nada tem a ver com o Javascript. São duas coisas distintas.
Para desativar o Java no vosso browser vejam as indicações aqui http://research.zscaler.com/2012/08/are-you-vulnerable-to-latest-java-0-day.html
Javascript ≠ JAVA
Jesus…
Ok, ate tem razão, mas desactivando apenas o JavaScript ja deixam de ter o chrome vunerável ao exploit. Já agora obrigado por me corrigirem.
JavaScript não é Java. A ÚNICA coisa em comum é o nome…
Mas com o Java desativado os sites não funcionam bem.
CUmps.
Já tenho desactivado desde segunda ou terça, nem me lembro quando vi a primeira noticia!
instalem a ultima 1.6…
Acho que há muita gente a confundir Java com JavaScript. Vamos ver se nos entendemos:
JavaScript é um dos motores por detrás da internet. Desativá-lo não só não resolve o problema como ainda vos afeta seriamente a navegação na internet.
Java é (neste caso) um plugin que o browser usa para mostrar conteúdo adicional. Desativá-lo não vos afetará a navegação exceto em casos particulares.
Boa tarde ,
Correctíssimo .
Cumprimentos
Serva
No Chrome aparece-me um link junto ao plugin para efectuar o download de uma actualização critica de segurança.
Alguém reparou no mesmo?
Sim, também dei conta disso.
Mas não me parece que seja para resolver este problema em concreto, visto que tanto quanto sei, ainda não foi oficialmente resolvido.
Não estou minimamente preocupado, não uso Java já mesmo por este motivo, não é o primeiro exploit grave que o Java tem, todas as versões vem meia duzia deles, so usa Java quem gosta de estar inseguro.
Ou quem precisa.
Obrigado José Pinto por partilhares.
No meu chrome fui a “chrome://plugins/” e desativei o java à mais de um ano e até agora para aquilo que eu uso na net não tenho notado a diferença.
Eles andem aí:
O MSE apanhou 3 ficheiros na cache contaminados com o exploit (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aJava%2fCVE-2012-4681.AI&threatid=2147661668). Em princípio não deverão fazer danos já que não estou a usar as versões afectadas. Mas parece que é fácil apanhar este exploit pela net….
Usem proteção 😉
Eu uso Linux (ubuntu) com o Java 7 e de acordo com o site diz-me que não tenho esse problema.
Portanto o uso de Linux aconselha-se.
Java version(s) installed: 1.7.0_07
Are you vulnerable to the latest 0-day exploit: No
Suponho que o add-on NoScript para Firefox toma conta do problema, não?