| Autor |
Mensagem |
![[Post New]](/templates/default/images/icon_minipost_new.gif) 12/04/2010 19:00:36
|
santoro
JavaGuru
![[Avatar]](/images/avatar/fa1839c55070bf5cb53fd4a2e523641c.png)
Membro desde: 08/03/2005 15:46:00
Mensagens: 217
Localização: Novo Horizonte/SP
Offline
|
Vocês estão sabendo sobre este assunto? O que acham?
Segundo pesquisador que descobriu a falha, a empresa disse que não vai liberar uma correção em breve.
Um pesquisador do Google divulgou detalhes sobre um bug relacionado à linguagem Java (associado à virtual machine) que permite que crackers (criminosos da internet) rodem programas não autorizados em computadores remotos.
A vulnerabilidade foi anunciada na sexta (9/4) por Tavis Ormandy, que afirma já ter notificado a equipe da Sun/Oracle há algum tempo. ?Eles me disseram que não consideram essa brecha suficientemente prioritária para alterar seu ciclo de atualização do trimestre?, afirmou Ormady. ?Eu não concordo com eles?, completou.
Procurada por nossa reportagem, a Sun/Oracle não quis comentar o caso. A empresa liberou um grande pacote de atualizações na semana passada e só deve soltar um outro lote de correções em julho.
Segundo o especialista, a falha acontece porque a linguagem Java permite criar uma biblioteca nociva e determinar à JVM que a instale. Assim, um cracker pode rodar seu programa de ataque.
?A Oracle está cometendo um erro ao não corrigir esse bug imediatamente?, afirma Marc Maiffret, diretor da empresa de segurança FireEye. Segundo ele, o bug é preocupante porque ele se deve a uma falha de design do Java.
Apesar disso, os ataques baseados em Java ainda são raros. De acordo com o analista de segurança Russ Cooper, da Verizon, é mais provável que, em vez de desenvolverem um novo ataque explorando essa brecha, os criminosos prefiram explorar falhas mais conhecidas, como as do Adobe Reader.
A falha afeta as versões a partir da atualização Java SE 6 para Windows, afirma Ormandy. Segundo a Symantec, usuários de Linux também podem ser afetados.
Fonte: http://idgnow.uol.com.br/seguranca/2010/04/12/bug-em-java-permite-ataque-de-crackers-sun-menospreza-falha/
|
SCJA / SCJP / SCWCD / PDA / PDT |
|
|
 |
|
|
12/04/2010 19:41:25
|
Felipe Kan
JavaEvangelist
Membro desde: 12/07/2005 16:13:03
Mensagens: 418
Offline
|
Provavelmente mais uma falha de overflow... afinal a máquina virtual java é feita em linguagem C...
|
|
|
|
12/04/2010 19:53:18
|
rogelgarcia
GUJ Master
![[Avatar]](/images/avatar/861e8bae74e22a572164fdb59b1caa8b.jpg)
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
O problema é no Java web start
http://blogs.zdnet.com/security/?p=6082
http://securitythreat.info/online-security-news/tavis-ormandy-java-virtual-machine-bug-could-result-in-attack/
http://www.darknet.org.uk/2010/04/serious-java-bug-exposes-users-to-code-execution/
http://maximumitblips.dailyradar.com/story/0day-java-web-start-arbitrary-command-line-injection/
This message was edited 1 time. Last update was at 12/04/2010 19:56:41
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
 |
|
|
|
13/04/2010 00:40:09
|
rogelgarcia
GUJ Master
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe!
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
|
|
|
|
13/04/2010 07:49:40
|
UMC
GUJ Master
![[Avatar]](/images/avatar/1ec8093966ebb071c43adce47166569d.jpg)
Membro desde: 09/04/2009 14:03:36
Mensagens: 1685
Localização: Feira de Santana - BA
Offline
|
rogelgarcia wrote:A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe!
Uma das minhas filosofia é essa também!
vlw
|
Compro o livro SCJP 6 Kathy Sierra, de preferência e português, quem tiver manda MP.!!!
umcaste.com
Graduando em Sistema de Informação.
espero ter ajudado...
falando nisso, caso seu problema tenha sido resolvido, edite o seu primeiro post e coloque um [RESOLVIDO] no titulo do tópico. (créditos maior_abandonado)
UMC-ASTEC -> Recomenda o NEXT!
O Next, é um framework para desenvolvimento de aplicações JEE. Baseado em Spring e Hibernate, tem como foco facilitar o trabalho do programador e dar produtividade ao desenvolvimento de aplicações web. Conta com diversos recursos que irão turbinar o desenvolvimento de suas aplicações.
(Créditos Rogel Garcia)
Download do NEXT
Quer aprender a programar com facilidade!?
Aqui
|
|
|
|
13/04/2010 07:56:56
|
rogelgarcia
GUJ Master
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
UMC wrote:
rogelgarcia wrote:A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe!
Uma das minhas filosofia é essa também!
vlw
Pô cara.. aí vc me quebrou... pode ser assim nao
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
|
|
|
|
13/04/2010 08:00:45
|
UMC
GUJ Master
Membro desde: 09/04/2009 14:03:36
Mensagens: 1685
Localização: Feira de Santana - BA
Offline
|
rogelgarcia wrote:
UMC wrote:
rogelgarcia wrote:A Oracle segue a filosofia que anda em moda hoje em dia:
O importante é vender, funcionar é um detalhe!
Uma das minhas filosofia é essa também! vlw
Pô cara.. aí vc me quebrou... pode ser assim nao
hum, é mesmo!!
5 motivos para que eu deixe essa filosofia!?!?
PS. Já foi mostrado os 5 motivos!
Não usarei mais essa filosofia!
vlw
This message was edited 2 times. Last update was at 13/04/2010 16:53:54
|
Compro o livro SCJP 6 Kathy Sierra, de preferência e português, quem tiver manda MP.!!!
umcaste.com
Graduando em Sistema de Informação.
espero ter ajudado...
falando nisso, caso seu problema tenha sido resolvido, edite o seu primeiro post e coloque um [RESOLVIDO] no titulo do tópico. (créditos maior_abandonado)
UMC-ASTEC -> Recomenda o NEXT!
O Next, é um framework para desenvolvimento de aplicações JEE. Baseado em Spring e Hibernate, tem como foco facilitar o trabalho do programador e dar produtividade ao desenvolvimento de aplicações web. Conta com diversos recursos que irão turbinar o desenvolvimento de suas aplicações.
(Créditos Rogel Garcia)
Download do NEXT
Quer aprender a programar com facilidade!?
Aqui
|
|
|
|
13/04/2010 08:04:27
|
thiagomont
JavaChild
Membro desde: 02/05/2007 00:49:04
Mensagens: 139
Offline
|
Não sei até que ponto esta falha afeta muito a plataforma java, mas no mínimo considero um erro de estratégia da Oracle. Deixar um erro de segurança conhecido sem correção por um longo tempo ira causar ainda mais desconfiança da fusão Sun/Oracle.
Do problema em si, acredito que apesar da falha ser séria, não irá afetar muitos usuários, principalmente porque não existe uma tradição em utilizar java para invadir máquinas, além do fato de existirem meios mais fáceis, principalmente em um windows mal configurado...
flw....
|
Thiago Amaral Monteiro
Analista de Sistemas - SERPRO
|
|
|
|
13/04/2010 08:11:16
|
rogelgarcia
GUJ Master
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
Pelo que eu vi, a falha não é dificil de ser explorada não..
No meu computador, não funcionou .. mas eu nao sei se to com o update...
Para explorer a falha, basta criar um site, com um JWS com determinada linha de comando, que voce conseguiria explorar o pc de alguém....
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
|
|
|
|
13/04/2010 08:17:53
|
UMC
GUJ Master
Membro desde: 09/04/2009 14:03:36
Mensagens: 1685
Localização: Feira de Santana - BA
Offline
|
rogelgarcia wrote:Pelo que eu vi, a falha não é dificil de ser explorada não..
No meu computador, não funcionou .. mas eu nao sei se to com o update...
Para explorer a falha, basta criar um site, com um JWS com determinada linha de comando, que voce conseguiria explorar o pc de alguém....
Tem como você me passar o que você fez pra testar pra que possa fazer esse teste?
vlw
|
Compro o livro SCJP 6 Kathy Sierra, de preferência e português, quem tiver manda MP.!!!
umcaste.com
Graduando em Sistema de Informação.
espero ter ajudado...
falando nisso, caso seu problema tenha sido resolvido, edite o seu primeiro post e coloque um [RESOLVIDO] no titulo do tópico. (créditos maior_abandonado)
UMC-ASTEC -> Recomenda o NEXT!
O Next, é um framework para desenvolvimento de aplicações JEE. Baseado em Spring e Hibernate, tem como foco facilitar o trabalho do programador e dar produtividade ao desenvolvimento de aplicações web. Conta com diversos recursos que irão turbinar o desenvolvimento de suas aplicações.
(Créditos Rogel Garcia)
Download do NEXT
Quer aprender a programar com facilidade!?
Aqui
|
|
|
|
13/04/2010 08:19:59
|
rogelgarcia
GUJ Master
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
Link com um teste não nocivo
[REMOVIDO, TROJAN]
This message was edited 1 time. Last update was at 14/04/2010 11:48:32
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
|
|
|
|
13/04/2010 08:20:58
|
rogelgarcia
GUJ Master
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
Ormandy suggests the following mitigation advice:
Internet Explorer users can be protected by temporarily setting the killbit on CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. To the best of my knowledge, the deployment toolkit is not in widespread usage and is unlikely to impact end users.
Mozilla Firefox and other NPAPI based browser users can be protected using File System ACLs to prevent access to npdeploytk.dll. These ACLs can also be managed via GPO.
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
|
|
|
|
13/04/2010 08:25:36
|
UMC
GUJ Master
Membro desde: 09/04/2009 14:03:36
Mensagens: 1685
Localização: Feira de Santana - BA
Offline
|
rogelgarcia wrote:Link com um teste não nocivo
[REMOVIDO, TROJAN]
abri no Firefox e abriu a Calculadora!
No Chrome nem tem plugin disponível!
vlw
This message was edited 2 times. Last update was at 14/04/2010 11:48:41
|
Compro o livro SCJP 6 Kathy Sierra, de preferência e português, quem tiver manda MP.!!!
umcaste.com
Graduando em Sistema de Informação.
espero ter ajudado...
falando nisso, caso seu problema tenha sido resolvido, edite o seu primeiro post e coloque um [RESOLVIDO] no titulo do tópico. (créditos maior_abandonado)
UMC-ASTEC -> Recomenda o NEXT!
O Next, é um framework para desenvolvimento de aplicações JEE. Baseado em Spring e Hibernate, tem como foco facilitar o trabalho do programador e dar produtividade ao desenvolvimento de aplicações web. Conta com diversos recursos que irão turbinar o desenvolvimento de suas aplicações.
(Créditos Rogel Garcia)
Download do NEXT
Quer aprender a programar com facilidade!?
Aqui
|
|
|
|
13/04/2010 08:28:44
|
andreiribas
JavaEvangelist
![[Avatar]](/images/avatar/39016cfe079db1bfb359ca72fcba3fd8.jpg)
Membro desde: 30/04/2006 10:43:13
Mensagens: 478
Localização: Curitiba - PR
Offline
|
rogelgarcia wrote:Link com um teste não nocivo
[REMOVIDO, TROJAN]
Aqui não funcionou o teste.
Unable to access jarfile.
Usando o IE7 e win XP.
This message was edited 1 time. Last update was at 14/04/2010 11:48:58
|
SCJP 6.0
OCE JSP and Servlet Developer, JEE 6 |
|
|
|
13/04/2010 08:37:36
|
rogelgarcia
GUJ Master
Membro desde: 21/06/2007 23:27:21
Mensagens: 1850
Offline
|
O meu tb aconteceu a mesma coisa.. no Internet Explorer
No Firefox o NOD 32 barrou o site...
This message was edited 1 time. Last update was at 13/04/2010 08:39:42
|
Rógel Garcia, criador do framework NEXT
http://www.nextframework.org
|
|
|
|
|
|
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[Email]](/templates/default/images/icon_email.gif){kind=icon}
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}