Vulnerabilidade no Oracle Java JDK7

Estas “novidades” da versão 7 estão um tanto quanto incomodando, tanto que estou ainda utilizado a versão 6. Obrigado por compartilhar.

Abraço

A vulnerabilidade eh para java em navegadores.

Alguem ainda usa applets nos dias de hoje?

s4nchez:

A vulnerabilidade eh para java em navegadores.

Alguem ainda usa applets nos dias de hoje?

Sim.

O itaú que sempre foi um dos melhores exemplos de TI nos bancos, está utilizando applet justamente pra ter segurança (isso depois de muitos anos sem usar nada), vai entender

s4nchez:

A vulnerabilidade eh para java em navegadores.

Alguem ainda usa applets nos dias de hoje?

Sim, Santander tambem usa java no seu modulo de segurança!

Mas pelo que notícia dá a entender, o problema não reside em sites de grande porte, como de bancos, pois lá o autor do aplicativo é confiável. O problema é acessar sites desconhecidos que possuam applets. Aí sim reside o perigo.

Mais um blablabla…
Mantenha a JRE atualizada e pronto.

Pois é, até parece que nunca teve atualização de segurança em nenhuma plataforma. Falha de segurança no java sempre apareceu e sempre foi corrigida, não mudou nada. Assim como acontece com tudo que é software.

Eu também acho.

Por isso não habilito nem mesmo JavaScript no browser.

Essa conversa sobre “falha de segurança” é muito massante. Todo mundo usa activex e infinidades de plugins sem reclamar. Aí aparece uma notícia falando sobre falha de segurança e um metido a hacker dá uma de entendido.

É uma coisa muito chata.

Adoro a insegurança, já que é o normal da internet mesmo.

Olá pessoal,

Verdade que as falhas de segurança sempre vão existir.

No entanto, acho que o nosso amigo só quis compartilhar a informação com o GUJ.

Abraços,

Matao

Concordo em dizer que falhas de segurança sempre existirão e sempre vão existir.

Não existe nada 100% seguro, vc pode invadir qualquer tipo de sistema, desde que realmente esteja disposto a faze-lo.

pedrogf89:

Concordo em dizer que falhas de segurança sempre existirão e sempre vão existir.

Não existe nada 100% seguro, vc pode invadir qualquer tipo de sistema, desde que realmente esteja disposto a faze-lo.

E souber fazer!

Pronto, corrigiram a falha.
http://www.oracle.com/technetwork/java/index.html

Agora podemos acabar com o mimimi e voltar à programação normal.

Boa, java s2

Quem quiser ver está a notícia no G1.

http://g1.globo.com/tecnologia/noticia/2012/08/oracle-lanca-correcao-de-emergencia-para-falhas-criticas-no-java.html

Meu intuito foi apenas de compartilhar a informação com a comunidade GUJ, sei que falhas de segurança sempre vão existir, mas não é por isso que não devemos tomar conhecimento delas.

Abraços!

Achei a noticia do G1 um pouco sensacionalista… Na boa… não consegui entender porque a falha era tão grave… (ou realmente não entendi falha).

Eles falam que a falha prejudica qualquer sistema, bla bla bla por sair da sandbox, mas pergunto.

• Ele conseguia fazer a execução da applet sem qualquer aviso em um linux por exemplo ?
• Ele conseguia passar as permissões do SO (por exemplo um usuário não root no linux ou um usuário não administrador no windows) ?

Se realmente ele conseguia fazer tudo isso somente digitando www.pagina.com, então realmente é grave… caso contrário… sensacionalismo puro! No momento que eu permiti a applet rodar devo estar ciente… Agora se a applet consegue passar por cima do sistema de permissões do SO… tem algo errado…

http://g1.globo.com/tecnologia/noticia/2011/08/pacotao-de-seguranca-desative-o-java-para-ficar-mais-seguro-na-web.html

O link fala :
Infeção em um clique
Supondo que você esteja com a versão mais nova do Java e que ela não apresente falhas de segurança, os problemas ainda não acabaram. Isso porque os applets Java, esses que executam dentro do navegador, ainda podem solicitar a ?liberação? de todos os recursos. Essa tela tem apenas dois botões: ?Executar? e ?Cancelar?. Um clique no Executar e pronto: o computador está infectado.

Se você acessar www.asldlasla.nf/mulherpelada.exe e clicar em executar vai acontecer a mesma coisa…

Mas pelo que entendi a falha permite que a applet rode sem confirmação… ?

Mas ela consegue passar por cima da proteção do SO ?

Essa notícia aí é de 2011 e foi motivada pelo aviso que o firefox estava dando na época (para desativar o plugin do java)…

Eu estou com muito medo agora pois eu pensava que eles não deixariam algo tão explícito ficar disponível para hackers.
Agora tenho que acompanhar as notícias para ver no que isso vai dar.

Aiai

jmmenezes:

Achei a noticia do G1 um pouco sensacionalista… Na boa… não consegui entender porque a falha era tão grave… (ou realmente não entendi falha).

Eles falam que a falha prejudica qualquer sistema, bla bla bla por sair da sandbox, mas pergunto.

• Ele conseguia fazer a execução da applet sem qualquer aviso em um linux por exemplo ?
• Ele conseguia passar as permissões do SO (por exemplo um usuário não root no linux ou um usuário não administrador no windows) ?

Se realmente ele conseguia fazer tudo isso somente digitando www.pagina.com, então realmente é grave… caso contrário… sensacionalismo puro! No momento que eu permiti a applet rodar devo estar ciente… Agora se a applet consegue passar por cima do sistema de permissões do SO… tem algo errado…

jmmenezes:

Achei a noticia do G1 um pouco sensacionalista… Na boa… não consegui entender porque a falha era tão grave… (ou realmente não entendi falha).

Eles falam que a falha prejudica qualquer sistema, bla bla bla por sair da sandbox, mas pergunto.

• Ele conseguia fazer a execução da applet sem qualquer aviso em um linux por exemplo ?
• Ele conseguia passar as permissões do SO (por exemplo um usuário não root no linux ou um usuário não administrador no windows) ?

Se realmente ele conseguia fazer tudo isso somente digitando www.pagina.com, então realmente é grave… caso contrário… sensacionalismo puro! No momento que eu permiti a applet rodar devo estar ciente… Agora se a applet consegue passar por cima do sistema de permissões do SO… tem algo errado…

Sensacionalista ao extremo …