Segundo pesquisador que descobriu a falha, a empresa disse que não vai liberar uma correção em breve.
Um pesquisador do Google divulgou detalhes sobre um bug relacionado à linguagem Java (associado à virtual machine) que permite que crackers (criminosos da internet) rodem programas não autorizados em computadores remotos.
A vulnerabilidade foi anunciada na sexta (9/4) por Tavis Ormandy, que afirma já ter notificado a equipe da Sun/Oracle há algum tempo. “Eles me disseram que não consideram essa brecha suficientemente prioritária para alterar seu ciclo de atualização do trimestre”, afirmou Ormady. “Eu não concordo com eles”, completou.
Procurada por nossa reportagem, a Sun/Oracle não quis comentar o caso. A empresa liberou um grande pacote de atualizações na semana passada e só deve soltar um outro lote de correções em julho.
Segundo o especialista, a falha acontece porque a linguagem Java permite criar uma biblioteca nociva e determinar à JVM que a instale. Assim, um cracker pode rodar seu programa de ataque.
“A Oracle está cometendo um erro ao não corrigir esse bug imediatamente”, afirma Marc Maiffret, diretor da empresa de segurança FireEye. Segundo ele, o bug é preocupante porque ele se deve a uma falha de design do Java.
Apesar disso, os ataques baseados em Java ainda são raros. De acordo com o analista de segurança Russ Cooper, da Verizon, é mais provável que, em vez de desenvolverem um novo ataque explorando essa brecha, os criminosos prefiram explorar falhas mais conhecidas, como as do Adobe Reader.
A falha afeta as versões a partir da atualização Java SE 6 para Windows, afirma Ormandy. Segundo a Symantec, usuários de Linux também podem ser afetados.
Fonte: IDGnow
Nenhum comentário:
Postar um comentário
Deixe seu recado, sugestão ou opinião. Mas não toleramos ofensas, abusos ou spam. Todos os comentários são de inteira responsabilidade do autor. Obrigado.