Fui alertado há pouco pelo Avira sobre um exploit no Java:
E parece ser algo sério mesmo, se pesquisarmos no Google por [google]Java 7 zero-day exploit[/google], teremos alguns lotes de sites reportando o mesmo, mas como não encontrei nenhum brasileiro falando sobre, gostaria de perguntar ao pessoal do GUJ:
Isso é real? A JVM realmente tem uma nova falha de segurança?
E novamente é no java plug-in (aquele que roda nos navegadores, não na VM em si).
Tem algum link em PT com mais informações, ViniGodoy?
Não, mas isso está escrito nos em inglês.
Bem, encontrei isso:
Já é algo
Mesmo que a JVM tivesse algum problema, um ofensor teria que invadir primeiro a máquina (passar pelo firewall do linux/windows) para só então chegar na JVM. E se um ofensor consegue passar pelo firewall não creio que seu alvo primário seria a JVM. ^^
Hebert Coelho, pelo que eu entendi, a porta de entrada é a própria JVM:
Quando você entra em um site com um Applet, a JVM é executada para executar aquele Applet. Se o Applet for ofensivo (ou seja, o hacker tenha o criado), a pessoa se infecta sem nem saber
[quote=War Paz]Hebert Coelho, pelo que eu entendi, a porta de entrada é a própria JVM:
Quando você entra em um site com um Applet, a JVM é executada para executar aquele Applet. Se o Applet for ofensivo (ou seja, o hacker tenha o criado), a pessoa se infecta sem nem saber[/quote]Mas o applet foi o caminho do mau. Se não tivesse o applet a JVM não estaria acessível. [=
Esse zero-day ja existe a um tempao.
Tem hacker ate pagando pra alguem formular 1 zero-day em joomla acima da versao 2.
A recomendação é atualizar para o Java 7 Update 11. Maiores detalhes sobre o update, no blog de segurança da Oracle.
Quem quiser entender mais sobre o exploit, pode ler este artigo (em inglês), que explica muito bem sobre o problema.