sexta-feira, 22 de fevereiro de 2013

Oracle libera novas correções para 5 vulnerabilidades do Java

Patches corrigem falhas de segurança do software que não foram abordadas na última atualização feita em fevereiro

A Oracle liberou novas atualizações de segurança para o Java na terça-feira (19/2) e anunciou planos para acelerar a publicação de patches futuros para o software. A iniciativa acontece depois da sequência de ataques que infectaram computadores com malware por meio da exploração de vulnerabilidades 0-day em plugins do Java.
As novas atualizações, Java 7 Update 15 e Java 6 Update 41, corrigem 5 novas vulnerabilidades que não puderam ser incluídas no último update de emergência que a Oracle liberou no dia 1 de fevereiro, por conta do tempo limitado.
Na época, a empresa saiu do seu ciclo programado de pacthes de 4 meses para o Java, a fim de corrigir uma vulnerabilidade que estava sendo ativamente explorada por crackers.
Quatro das cinco vulnerabilidades corrigidas podem ser explorada por meio de aplicações Java Web Start em desktops e applets Java em navegadores, disse o diretor de garantia de software, Eric Maurice, em um post no blog da empresa.
Três dessas quatro falhas foram classificadas com a maior pontuação (10) na escala Sistema Comum de Pontuação de Vulnerabilidade (Common Vulnerability Scoring System), o que significa que são críticas e podem ser exploradas e comprometer completamente a confidencialidade, integridade e disponibilidade dos sistemas em que o Java é executado com privilégios de administrador, como como o Windows XP.
Em sistemas onde Java não tem privilégios administrativos, como o Linux ou Solaris, o impacto é menor, disse Maurice.
A quinta vulnerabilidade afeta implementações de servidor do Java Secure Sockert Extension (JSSE), decorrente do ataque Lucky Thirteen contra as implementações SSL/TLS que pesquisadores de segurança divulgaram no início deste mês.
Embora o novo Java 6 Update 41 esteja disponível para download no site da Oracle, ele não está disponível a partir do Java.com e deve ser obtido manualmente. O recurso de atualização do Java 6 solicitará que os usuários baixem e instalem o Java 7 Update 15.
Este foi um movimento planejado da Oracle que, anteriormente, anunciou em seu site que "começará a aplicar atualização automática para todos os usuários de Windows de 32-bit do JRE 6 ao JRE 7 com a versão de atualização do Java, o Java SE 7 Update 15 (Java SE 7u15), em fevereiro de 2013."
A Oracle vai acelerar o seu ciclo de correções para o Java. "A intenção da empresa é acelerar a liberação de patches, especialmente para ajudar a resolver os problemas de segurança do Java Runtime Environment (JRE) em navegadores de desktop", disse Maurice.

Fonte: idgnow

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.