Um pesquisador de segurança conhecido por encontrar bugs no ambiente Java descobriu uma nova vulnerabilidade crítica (zero-day) que afeta todas as versões atualmente suportadas do popular software da Oracle.
O bug foi reportado publicamente na lista de discussão de segurança Full Disclosure nesta terça-feira por Adam Gowdiak, fundador e CEO da empresa polonesa de segurança Security Explorations, e pode ser usado para assumir o controle de uma máquina com Java, permitindo que malfeitores instalem malware no sistema.
PCs com Windows e Macs correm o mesmo risco caso tenham o Java instalado ou, no caso dos Macs, rodem a versão 10.6 (Snow Leopard) ou anterior do sistema operacional, que traz o ambiente Java pré-instalado. Todas as versões atualmente suportadas do Java, incluindo a 5, 6 e 7, são afetadas pelo bug.
Outras falhas
Gowdiak já encontrou outras vulneabilidades no Java no passado. No início deste ano ele reportou mais de uma dúzia delas para a Oracle. Meses depois, hackers descobriram independentemente um dos bugs, e começaram a usá-lo em ataques em grande escala em Agosto. Em 30 de Agosto a Oracle liberou uma rara atualização de segurança "fora de época" (out of band) para corrigir o bug.
Mas a vulnerabilidade descoberta por Gowdiak na terça-feira é potencialmente mais séria que a falha já explorada e, no momento, apresenta menos risco aos usuários.
"O impacto potencial é maior quando consideramos o número de sistemas vulneráveis", disse Gowdiak em um e-mail respondendo à questões sobre a falha. "O bug afeta cópias atualizadas do Java 5, 6 e 7. Testamos até mesmo o Developer Preview do Java 7 Update 10, lançado em 20 de Setembro, e verificamos que também é vulnerável".
Criminalidade
A falha "zero-day" explorada pelos criminosos no mês passado afetava apenas o Java 7, a mais nova versão do software, e por causa disso Gowdiak e outros especialistas recomendaram que os usuários fizessem o "downgrade" para o Java 6, que é seguro. Não é o caso agora, já que todas as versões do Java contém a falha.
Gowdiak, usando estatísticas de base instalada citadas pela Oracle, argumentou que aproximadamente um bilhão de usuários estão em perigo por causa da nova vulnerabilidade.
Por outro lado, há muito menos urgência na correção da falha em relação ao mês passado, simplesmente porque não há evidência de que ela esteja sendo explorada por hackers. "Não estamos cientes de nenhum ataque ativo que explore esta vulnerabilidade", disse Gowdiak.
Gowdiak disse que encontrou a nova falha no Java na semana passada - e levou o fim de semana para criar e testar um software para explorar e provar o conceito - mas só a reportou à Oracle na terça-feira. Em um e-mail para a Computerworld, Gowdiak disse que "acabamos de receber confirmação do problema por parte da Oracle".
Solução
A empresa também lhe disse que o bug será corrigido em uma futura atualização de segurança do Java, mas não informou qual. A próxima, segundo o cronograma da Oracle, será em 16 de Outubro.
Este foi um dos vários motivos usados por Gowdiak para explicar por que veio a público com a falha - embora sem os detalhes técnicos - em vez de reportá-la de forma privada à Oracle e aguardar por uma correção. "Ainda temos três semanas até a próxima atualização programada, então pode ser possível que a Oracle corrija a falha a tempo", disse ele.
Gowdiak também disse que "era simplesmente nossa obrigação avisar propriamente os usuários", especialmente frente às recomendações no mês passado de um downgrade do Java 7 para o Java 6.
O fato de que o Java 6 é vulnerável é de especial interesse para qualquer um usando um Mac com o OS X 10.6 (Snow Leopard) ou OS X 10.5 (Leopard). Estas versões do sistema trazem o Java embutido, o que não acontece a partir da versão 10.7. Se hackers encontrarem a por conta própria a vulnerabilidade relatada por Gowdiak, e a explorarem antes que uma correção seja lançada, usuários destas duas versões do Mac OS X estarão vulneráveis, bem como usuários do Lion e Mountain Lion que tenham instalado o Java separadamente.
A publicidade gerada pela nova falha "zero-day" - relatada por vários veículos de imprensa - irá colocar pressão sobre a Oracle para que aja rapidamente, um motivo frequentemente citado por pesquisadores de segurança que anunciam a existência de uma falha antes que uma correção esteja disponível.
Resposta
Gowdiak também tem uma resposta para isso: "Fazemos anúncios públicos para que os usuários estejam cientes dos risocs associados a certo software ou tecnologia, e que possam planejar suas ações de acordo", disse ele. Ele também se recusou a divulgar mais informações sobre a falha além da vaga descrição na mensagem postada na lista de discussão Full Disclosure.
O pesquisador confirmou que sua prova de conceito também funciona contra os plugins Java usados nas versões atuais dos navegadores Chrome, Firefox, Internet Explorer 9, Opera e Safari no Windows 7. Como praticamente todo profissional de segurança faz sempre que uma vulnerabilidade é exposta, Gowdiak pede que os usuários desabilitem com urgência o plugin em seus navegadores, até que a Oracle lance uma correção.
Instruções para desabilitar o Java nos principais navegadores podem ser encontradas no site da US-CERT (United States Computer Emergency Readiness Team).
Autor: Economia SC
Fonte: Economia SC
Obs.: Os textos aqui apresentados s?o extra?dos das fontes citadas em cada mat?ria, cabendo ?s fontes apresentadas o cr?dito pelas mesmas.