Total Security - infoguerra.com.br
Oracle libera correção de emergência para vulnerabilidade do Java
A Oracle liberou na segunda-feira (4/3) uma atualização emergencial para o Java, a fim de corrigir duas vulnerabilidades críticas do software - uma delas, inclusive, está sendo ativamente explorada por crackers em ataques direcionados.
As vulnerabilidades, identificadas como CVE-2013-1493 e CVE-2013-0809, estão localizadas no componente 2D da linguagem de programação. A falha recebeu a pontuação mais alta na classificação de risco da Oracle.
"Essas brechas podem ser exploradas remotamente sem autenticação. Por exemplo, elas podem ser exploradas por meio de uma rede sem a necessidade de um nome de usuário e senha", disse a companhia em um alerta de segurança. "Para um exploit ser bem sucedido, um usuário desavisado executando uma versão afetada no navegador deve visitar uma página web maliciosa que se aproveita dessas vulnerabilidades. Ataques bem-sucedidos podem afetar a disponibilidade, integridade e confidencialidade do sistema do usuário."
Os recém-lançados updates incluem o Java 7 Update 17 (7u17) e Java 6 Update 43 (6u43) - a empresa pulou as atualizações 7u16 e 6u42 sem razão aparente.
A Oracle observou que o Java 6u43 será a última atualização disponível para Java 6 e aconselha os usuários a atualizarem para o Java 7. Os updates do Java 6 deveriam terminar com Java 6 Update 41, lançado em 19 de fevereiro, mas parece que a empresa fez uma exceção para este patch de emergência.
Correção de emergência
A vulnerabilidade CVE-2013-1493 tem sido ativamente explorada por invasores desde a quinta-feira (28/2) passada pelo menos, quando pesquisadores da empresa de segurança FireEye identificaram ataques que a utilizaram com o objetivo de instalar um malware de acesso remoto chamado McRAT. No entanto, parece que a Oracle estava ciente da existência desta falha desde o início de fevereiro.
"Apesar de relatos de exploração ativa da CVE-2013-1493, este bug foi originalmente identificado pela Oracle em 1 de fevereiro de 2013, infelizmente, tarde demais para ser incluído na atualização do dia 19" disse o diretor de garantia de software da Oracle, Eric Maurice, em um post no blog da empresa na segunda-feira.
A empresa havia planejado corrigir a CVE-2013-1493 na próxima atualização agendada para 16 de abril, disse Maurice. No entanto, devido a vulnerabilidade ter começado a ser explorada por crackers, a Oracle decidiu lançar o patch mais cedo.
As duas falhas de segurança corrigidas com as últimas atualizações não afetam o Java que roda em servidores, aplicações Java para desktop ou aplicações standalone, disse Maurice. Aconselha-se que usuários instalem os patches o mais rápido possível, disse.
Os usuários podem desativar o suporte para conteúdo Java online a partir da guia de segurança no painel de controle Java, caso não precisem do software na web. As configurações de segurança para tais conteúdos são definidos como "alto" por padrão, ou seja, os usuários precisam autorizar a execução de applets Java que não são assinados ou são autoassinados dentro de navegadores.
A intenção é impedir a exploração automatizada de vulnerabilidades do Java na web, mas só funciona se os usuários forem capazes de tomarem decisões informadas sobre quais applets autorizar e quais não. "Para se protegerem, os usuários de desktop só devem permitir a execução de applets quando quiserem tais applets e confiarem em sua origem", disse Maurice.
As vulnerabilidades, identificadas como CVE-2013-1493 e CVE-2013-0809, estão localizadas no componente 2D da linguagem de programação. A falha recebeu a pontuação mais alta na classificação de risco da Oracle.
"Essas brechas podem ser exploradas remotamente sem autenticação. Por exemplo, elas podem ser exploradas por meio de uma rede sem a necessidade de um nome de usuário e senha", disse a companhia em um alerta de segurança. "Para um exploit ser bem sucedido, um usuário desavisado executando uma versão afetada no navegador deve visitar uma página web maliciosa que se aproveita dessas vulnerabilidades. Ataques bem-sucedidos podem afetar a disponibilidade, integridade e confidencialidade do sistema do usuário."
Os recém-lançados updates incluem o Java 7 Update 17 (7u17) e Java 6 Update 43 (6u43) - a empresa pulou as atualizações 7u16 e 6u42 sem razão aparente.
A Oracle observou que o Java 6u43 será a última atualização disponível para Java 6 e aconselha os usuários a atualizarem para o Java 7. Os updates do Java 6 deveriam terminar com Java 6 Update 41, lançado em 19 de fevereiro, mas parece que a empresa fez uma exceção para este patch de emergência.
Correção de emergência
A vulnerabilidade CVE-2013-1493 tem sido ativamente explorada por invasores desde a quinta-feira (28/2) passada pelo menos, quando pesquisadores da empresa de segurança FireEye identificaram ataques que a utilizaram com o objetivo de instalar um malware de acesso remoto chamado McRAT. No entanto, parece que a Oracle estava ciente da existência desta falha desde o início de fevereiro.
"Apesar de relatos de exploração ativa da CVE-2013-1493, este bug foi originalmente identificado pela Oracle em 1 de fevereiro de 2013, infelizmente, tarde demais para ser incluído na atualização do dia 19" disse o diretor de garantia de software da Oracle, Eric Maurice, em um post no blog da empresa na segunda-feira.
A empresa havia planejado corrigir a CVE-2013-1493 na próxima atualização agendada para 16 de abril, disse Maurice. No entanto, devido a vulnerabilidade ter começado a ser explorada por crackers, a Oracle decidiu lançar o patch mais cedo.
As duas falhas de segurança corrigidas com as últimas atualizações não afetam o Java que roda em servidores, aplicações Java para desktop ou aplicações standalone, disse Maurice. Aconselha-se que usuários instalem os patches o mais rápido possível, disse.
Os usuários podem desativar o suporte para conteúdo Java online a partir da guia de segurança no painel de controle Java, caso não precisem do software na web. As configurações de segurança para tais conteúdos são definidos como "alto" por padrão, ou seja, os usuários precisam autorizar a execução de applets Java que não são assinados ou são autoassinados dentro de navegadores.
A intenção é impedir a exploração automatizada de vulnerabilidades do Java na web, mas só funciona se os usuários forem capazes de tomarem decisões informadas sobre quais applets autorizar e quais não. "Para se protegerem, os usuários de desktop só devem permitir a execução de applets quando quiserem tais applets e confiarem em sua origem", disse Maurice.
Fonte:
IDGNOW
URL Fonte: https://infoguerra.com.br/noticia/2857/visualizar/
Comentários