Nova falha grave do JAVA - 2013

Iniciado por haereticus, 11 de Janeiro de 2013, 11:06

tópico anterior - próximo tópico

haereticus

O departamento de Segurança Interior dos Estados Unidos advertiu sobre uma falha no programa Java tão perigosa que seus usuários devem deixar de utilizar este software. A vulnerabilidade do programa está sendo explorada por hackers, adverte o braço americano encarregado de situações informáticas de urgência em um aviso em seu site.

"Não estamos ciente atualmente de uma solução prática a este problema", diz o aviso postado no site na quinta-feira. A recomendação consiste em desativar o programa.

O Java é distribuído pela empresa de software Oracle e é bastante popular porque permite aos programadores criar sites em código que possam ser acessados de forma independente do sistema operacional do computador.

Ao levar os internautas a acessarem sites repletos de armadilhas, os hackers podem explorar a vulnerabilidade para executar códigos nos computadores dos usuários, segundo afirmam empresas de segurança informática, que validaram o alerta lançado pelo departamento de Segurança Interior americano.

Fonte : http://tecnologia.terra.com.br/internet/eua-advertem-para-vulnerabilidade-grave-no-software-java,f5631712ad02c310VgnCLD2000000ec6eb0aRCRD.html
Notebook: Samsung 305E4A-BD1 - AMD A6-3420M (Quad Core) @2.4GHz - Radeon™ 6520G 512MB - 8GB - HD 500GB - 14" LED HD - HDMI - Bluetooth - Webcam 1.3 HD - Base CoolerMaster Notepal Ergostand - Mouse X7 Oscar 750bk 3200dpi.

Sony Xperia L - Android 4.1.2

Arthur Bernardes

Estou fora desse Java há muito tempo..!

adiaswin

e e por este e outros motivos que eu tenho raiva da oracle  >:(
ubuntu 12.04

Tota

#3
Depois de ler o link e sua tradução extremamente capenga feita do francês para o portugues (ele citam a agencia France Presse), fui diretamente à fonte da noticia => http://www.kb.cert.org/vuls/id/625617

Cuja solução é dada para Windows.  ( zero day flawless )

E lá é possivel se ler no paragrafo "Impact", que é preciso convencer o usuario a ir a um site malicioso para depois este usuario clicar num link que execute o applet modificado para ser atacado.

Este tipo de engenharia social já vem sendo usado a tempos explorando esta falha do Java, e novamente retornamos ao ponto fundamental da cadeia de hardware.

O problema sempre vai ficar entre a cadeira e o mouse.

Alguém lembra do sketch "pedala Robinho" onde um anão levava tapas para sambar? Acredito que este foi o unico comando de "reset" para seres humanos. Ô pecinha chata de configurar... E justamente é a que fica entre a cadeira e o mouse...

Até a France Presse => http://afpmobile.com/pl/svt/si/afp/po/opfr/sc/afp_fr_tout/dk/afpmobile.01-11-2013.2171/sq/Java/ms/cKKo8lJvE61/r/1357912802/pa/169411 tem repórteres despreparados que espalham noticias alarmistas, e outros repórteres idiotas que nem checam ou entendem o que a fonte da noticia relata para propagar alarmes com interpretações tendenciosas... (De novo a tal "pecinha" ).

Citar"Nous ne connaissons à l'heure actuelle aucune solution pratique à ce problème", ajoute-t-elle. La solution recommandée revient à désactiver le logiciel Java, crée par Sun Microsystems mais distribué par Oracle depuis que ce dernier a racheté Sun.
Aqui o imbecil do repórter (cujo nome não é citado) mistura o atual alerta com o noticiado em agosto de 2012 feito pela Sun Microsystems...

Para mim, é uma noticia para ser ignorada.

[]'s

garfo

Poxa, toda semana agora tem uma nova "falha" no Java.  ;D
Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

bmota

de novo ?? :o
vou remover ele de vez do windows,pois já tá desativado a meses.
01- pentium 4 1.8 Ghz 512 MB RAM 40 GB HD- LMDE// 02-notebook Samsung RV415 amd e300 1.3ghz 6gb RAM 320GB HD - Windows 8.1/ Linux Mint 17.2 cinnamon // skype: brandosilva
eu voltei.....

hugoleal85

A Oracle vai lançar um pacote de correções na próxima terça-feira, o que deve fechar essa e outras falhas de segurança na plataforma. Segue o link:
http://www.h-online.com/open/news/item/Oracle-announces-86-fixes-including-18-for-MySQL-1782780.html
"Cada homem que encontro é superior a mim em alguma coisa; e nisto posso aprender dele." [Ralph W. Emerson]
Meu blog

rudregues

Quando acontece esse tipo de falha no java, ela é válida para Linux e Mac também? Porque pelo que li o java tem alta portabilidade.

  [ ]'s
Gentoo — Controle total sobre o sistema.

adiaswin

Citação de: rudregues online 13 de Janeiro de 2013, 21:38
Quando acontece esse tipo de falha no java, ela é válida para Linux e Mac também? Porque pelo que li o java tem alta portabilidade.

  [ ]'s
acredito que sim.
ubuntu 12.04

hugoleal85

A Oracle lançou o Java 7 Update 11, o qual inclui uma correção para a vulnerabilidade crítica divulgada no início de janeiro. Esta atualização também inclui uma correção para outra vulnerabilidade crítica não revelada anteriormente. A companhia também confirmou que as falhas em questão não afetam o Java 6 ou versões anteriores, entretanto a Oracle pede que todo os usuários atualizem seus sistemas o mais rápido possível.

Mais informações no link abaixo:
Liberada correção para falha de segurança crítica no Java.
"Cada homem que encontro é superior a mim em alguma coisa; e nisto posso aprender dele." [Ralph W. Emerson]
Meu blog

eliseu_carvalho

Eu adotei o Java 8 aqui e funciona bem. Só que o Google Chrome e o JDownloader reconhecem como "versão antiga". Como assim?  ???

rudregues

Citação de: eliseu_carvalho online 14 de Janeiro de 2013, 13:29
Eu adotei o Java 8 aqui e funciona bem. Só que o Google Chrome e o JDownloader reconhecem como "versão antiga". Como assim?  ???
Reporta esse bug no launchpad ou similar eliseu.

  [ ]'s
Gentoo — Controle total sobre o sistema.

haereticus

Olha ai mais pano para manga. Mesmo com a atualização do software da Oracle no domingo vejam de novo o aviso.

EUA aconselham desabilitar Java mesmo após atualização



O Departamento de Segurança Interna dos Estados Unidos alertou que a atualização de segurança do Java para navegadores de internet não é o bastante para proteger os computadores e manteve a orientação de desabilitar o programa da Oracle. "A menos que seja absolutamente necessário operar o Java em navegadores, desabilitem-no", afirmou o Departamento de Segurança Interna no próprio site.

A produtora de software disponibilizou uma atualização para o Java no domingo, dias depois que o governo fez o primeiro alerta sobre o software, afirmando que defeitos no programa estavam abrindo brechas para roubo de identidade e outros crimes. Especialistas em segurança alertaram que os computadores que operam com Java nos navegadores podem ser alvos de criminosos que roubam números de cartões de crédito e cometem outros tipos de crime de computação.

A plataforma de software Java, criada na metade dos anos 90, permite que desenvolvedores escrevam códigos de software que funcionam tanto em computadores com o Microsoft Windows quanto nos Macs da Apple e nas máquinas que rodam o Linux. Embora alguns especialistas venham alertando há muito tempo que o software tem bugs, o Java começou a receber mais críticas no ano passado depois de problemas de segurança surgidos em agosto.

"Não é como se o Java tivesse ficado inseguro de repente. É inseguro há anos", disse Charlie Miller, engenheiro de computação do Twitter ex-consultor de segurança de grandes empresas e ex-analista do Departamento de Segurança Interna. O Java foi responsável por 50% dos ataques cibernéticos em que hackers invadiram computadores explorando vulnerabilidades no software, em 2012, de acordo com a Kaspersky Lab.

O interesse público no tema cresceu rapidamente na semana passada quando o Departamento de Segurança Interna aconselhou o público a deixar de usar o Java e os consumidores começaram a buscar informações sobre como seguir o conselho.

Fonte : http://tecnologia.terra.com.br/internet/eua-aconselham-desabilitar-java-mesmo-apos-atualizacao,579d3898b2a3c310VgnCLD2000000dc6eb0aRCRD.html
Notebook: Samsung 305E4A-BD1 - AMD A6-3420M (Quad Core) @2.4GHz - Radeon™ 6520G 512MB - 8GB - HD 500GB - 14" LED HD - HDMI - Bluetooth - Webcam 1.3 HD - Base CoolerMaster Notepal Ergostand - Mouse X7 Oscar 750bk 3200dpi.

Sony Xperia L - Android 4.1.2

eliseu_carvalho

#13
Citação de: haereticus online 15 de Janeiro de 2013, 17:56
Olha ai mais pano para manga. Mesmo com a atualização do software da Oracle no domingo vejam de novo o aviso.

EUA aconselham desabilitar Java mesmo após atualização



O Departamento de Segurança Interna dos Estados Unidos alertou que a atualização de segurança do Java para navegadores de internet não é o bastante para proteger os computadores e manteve a orientação de desabilitar o programa da Oracle. "A menos que seja absolutamente necessário operar o Java em navegadores, desabilitem-no", afirmou o Departamento de Segurança Interna no próprio site.

A produtora de software disponibilizou uma atualização para o Java no domingo, dias depois que o governo fez o primeiro alerta sobre o software, afirmando que defeitos no programa estavam abrindo brechas para roubo de identidade e outros crimes. Especialistas em segurança alertaram que os computadores que operam com Java nos navegadores podem ser alvos de criminosos que roubam números de cartões de crédito e cometem outros tipos de crime de computação.

A plataforma de software Java, criada na metade dos anos 90, permite que desenvolvedores escrevam códigos de software que funcionam tanto em computadores com o Microsoft Windows quanto nos Macs da Apple e nas máquinas que rodam o Linux. Embora alguns especialistas venham alertando há muito tempo que o software tem bugs, o Java começou a receber mais críticas no ano passado depois de problemas de segurança surgidos em agosto.

"Não é como se o Java tivesse ficado inseguro de repente. É inseguro há anos", disse Charlie Miller, engenheiro de computação do Twitter ex-consultor de segurança de grandes empresas e ex-analista do Departamento de Segurança Interna. O Java foi responsável por 50% dos ataques cibernéticos em que hackers invadiram computadores explorando vulnerabilidades no software, em 2012, de acordo com a Kaspersky Lab.

O interesse público no tema cresceu rapidamente na semana passada quando o Departamento de Segurança Interna aconselhou o público a deixar de usar o Java e os consumidores começaram a buscar informações sobre como seguir o conselho.

Fonte : http://tecnologia.terra.com.br/internet/eua-aconselham-desabilitar-java-mesmo-apos-atualizacao,579d3898b2a3c310VgnCLD2000000dc6eb0aRCRD.html


Esses americanos são uns paranoicos  ::)
Uso o JAVA há muitos anos, praticamente desde quando tive o meu primeiro PC (em 1998, com Windows 95 - ou seja, faz tempo...). Nunca tive um único problema de segurança.
Aliás, como sempre costumo dizer, a legítima segurança está nas mãos do usuário. Não adianta ter todo um aparato de segurança no PC se o próprio usuário faz coisas indevidas.

Sergio Benjamim

Citação de: eliseu_carvalho online 17 de Janeiro de 2013, 16:46

Isso tá mais pra paranoia do que pra uma verdadeira falha. Uso o JAVA há muitos anos, praticamente desde quando tive o meu primeiro PC (em 1998, com Windows 95 - ou seja, faz tempo...). Nunca tive um único problema de segurança.
Aliás, como sempre costumo dizer, a legítima segurança está nas mãos do usuário. Não adianta ter todo um aparato de segurança no PC se o próprio usuário faz coisas indevidas.

Pois é, isso aí é paranóia mesmo. Não tem plugin nos navegadores para bloquear o java? Se não me engano tem recurso no próprio navegador... daí é só a pessoa liberar o site específico que usa java, como o Banco do Brasil, é só criar white list...
É novo no Ubuntu? Já leu o Ubuntu – Guia do Iniciante 2.0 ?
Experimente o Xubuntu 14.04 !