Vulnerabilidade no JAVA, alguém confirma?

Ae galera, depois que li isso, fiquei meio encucado, será verdade?
:shock: :shock: :shock:
http://www.baboo.com.br/absolutenm/anmviewer.asp?a=13422&z=4

Igor,

Antes de se assustar, leia a matéria:

  1. O site do baboo é a piada da Internet brasileira
  2. Java, .Net, Linux, Windows, Atari 2600, cafeteiras… todas as máquinas e programas têm vulnerabilidades

[]s

[quote=“Igor_Barros”]Ae galera, depois que li isso, fiquei meio encucado, será verdade?
:shock: :shock: :shock:
[/quote]

java.exe é um programa escrito em C.
Todos os programas escritos em C estão sujeitos a vulnerabilidades.
Portanto, o Java está sujeito a vulnerabilidades.

Só que —

Assim como um carro blindado é normalmente mais seguro que um carro normal, o Java é normalmente mais seguro que um programa escrito em C normal. Não é porque carros blindados têm vulnerabilidades que você vai deixar de usar um deles lá no Iraque, ou na cidade brasileira de sua preferência…

Mas certas coisas aumentam as vulnerabilidades.
Uma delas é depender de código JNI © que você mesmo escreveu.
É como se fosse aquela abertura no vidro do carro blindado que você pediu para deixar - normalmente nenhum fabricante de carros blindados permite que os vidros das janelas sejam baixados - eles são sempre muito grossos e fixos - , mas como você é quem paga, pode até ser que eles façam um modelo para você que deixe baixar o vidro. Sabe como é, deixar o braço para fora da janela é um vício que é difícil de consertar…

[quote=“pcalcado”]1) O site do baboo é a piada da Internet brasileira
[/quote]

fikei curioso…keria saber o pq disso…

achei um site mto completo e um forum mto util…

sera soh pq se trata, na maioria, de tecnologias MS??

[quote=“rbarioni”]
sera soh pq se trata, na maioria, de tecnologias MS??[/quote]

Antes fosse. Leia a nota sobre vulnerabildiade no Java, depois leia a matéria completa. Faça uma busca por ‘linux’. tente entrar em http://www.baboo.com.br/ com o FireFox.

Se é útil para usuários de Windows ou não eu não posso opinar, mas é certamente a fonte mais tendenciosa de notícias sobre qualquer coisa.

[]s

[quote=“rbarioni”]fikei curioso…keria saber o pq disso…

achei um site mto completo e um forum mto util…

sera soh pq se trata, na maioria, de tecnologias MS??[/quote]

Nonon … mesmo quando eu trabalhava com MS ele já era uma piada, quem considerava suas opinioes nao batia bem da cabeça … (tecnicamente falando: ele nao tinha embasamento tecnico pra suas opinioes e de achismo nós temos muitas opcoes)

Fazia tempo que eu nao visitava, agora ele cresceu, está vitaminado … mas nao funciona no firefox entao continua uma piada :wink:

entrei no Baboo recentemente e achei mtas dicas sobre performance no WinXP…mtas delas mto uteis mesmo…

lah tem um artigo completo sobre malwares e como remover/impedir q eh show mesmo…

agora, qto ao fato de nao rodar no Firefox, por favor neh…tenho 2 blogs e nenhum deles funciona direito no Firefox ou Netscape…e sao excelentes blogs…

pelo menos, o baboo atine mais de 90% dos internautas no mundo…hahaha

falow

EDIT: web-blog foi f***…sorry…

[quote=“rbarioni”]
agora, qto ao fato de nao rodar no Firefox, por favor neh…tenho 2 blogs e nenhum deles funciona direito no Firefox ou Netscape…e sao excelentes web-blogs… [/quote]

Não imagino o que seria um web-blog, mas se é IE-only, nem quero saber.

Pois é. Daí vem a demanda por artigos para remover spyware.

[]s

… que demonstram a total falta de capacidade dos autores de fazer um HTML que preste.

Rafael

Essa vultenabilidade acontece somente em celulares que rodam java.

Pro ataque fazer qualquer coisa que não seja simplesmente travar o celular ele vai ter que investir MUITO tempo (o pesquisador levou 4 meses) e o ataque vai ser único a um celular.

Se a primeira fonte não era lá essas coisas… essa aqui é:

Não consegui pegar o PDF mencionado na reportagem do The Register, mas existe um problema no J2ME que está relacionado ao próprio design do J2ME: se no Java - J2SE existe um validador de classes binárias no carregador (classloader), que evita que certos problemas em bytecode (tais como interpretar uma referência para um objeto como um inteiro, corromper a pilha etc.) comprometam a segurança da máquina virtual, no J2ME a validação é feita previamente, porque para validar as classes antes de carregá-las o processamento é um pouco pesado e inaceitável para muito hardware que roda J2ME. Obviamente você pode marcar qualquer código como validado, mesmo que não sejam bytecodes válidos, já que o classloader do J2ME acredita no que está escrito no código, e não faz a validação em tempo de carregamento. (Bom, se todo código tivesse de ser assinado pela Sun para rodar, isso seria meio desajeitado, além disso a validação de assinaturas digitais também é muito lenta em tais hardwares - algo que levaria 0,005s em uma máquina Pentium 4 leva vários segundos em um celular, o que tornaria o processo impraticável.
Isso quer dizer que o J2ME é em tese intrinsecamente menos seguro que o J2SE por problemas de confiança - o classloader do J2ME confia em uma entidade externa (quem fez o deploy das classes), em vez de efetuar a validação ele mesmo.

thingol, não é exatamente essa a situação…

Midlets assinados tem suas assinaturas verificadas devidamente durante a instalação do midlet.

J2ME possui uma arquitetura de classloading bem diferente, na verdade CLCD 1.0, que não existe carga dinamica de classes, já que todas são conhecidas durante instalação.

Quando o midlet é instalado todas classes são verificadas segundo a JLS. A diferença é que usam o mecanismo de preverify para acelar o processo, o java 5.0 suporta esse mecanismo também.

O bug é na Monthy, a implementação da Sun de MIDP/CLDC. Ou seja, não existe um bug na arquitetura. E afeta somente alguns aparelhos que usam essa implementação.

Desculpem o master res, mas não achei necessário criar um novo tópico para isso (e não olhei rápido e não vi que era tão antigo =\ )

Enfim, a falta de ética dá o ar da graça novamente, acabei de ver essa notícia na página principal do Terra:

O que me deixa mais intrigado, é em saber qual a finalidade de publicar algo tão genérico que possa ser tão mal interpretado por pessoas menos informadas, para nós, ler algo desse tipo não muda muita coisa, mas imagine para aquela empresa que está fechando um contrato com você, que não conhece o leque aberto pela palavra “Java” e já desiste de seus serviços por um artigo desse tipo?

[quote=Bruno M Gasparotto]Desculpem o master res, mas não achei necessário criar um novo tópico para isso (e não olhei rápido e não vi que era tão antigo =\ )

Enfim, a falta de ética dá o ar da graça novamente, acabei de ver essa notícia na página principal do Terra:

O que me deixa mais intrigado, é em saber qual a finalidade de publicar algo tão genérico que possa ser tão mal interpretado por pessoas menos informadas, para nós, ler algo desse tipo não muda muita coisa, mas imagine para aquela empresa que está fechando um contrato com você, que não conhece o leque aberto pela palavra “Java” e já desiste de seus serviços por um artigo desse tipo?[/quote]

Por mais seguro que seja qualquer tipo de software ou sistemas tem vulnerabilidades.

Eu postei uma notícia ontem sobre uma nova vulnerabilidade descoberta no JAVA não sei se ainda foi aprovada, mas segue:

P.S: pelo que li no post acima se refere a mesma falha, mas link do the next web detalha mais o problema

Segue noticia do governo americano…

http://g1.globo.com/tecnologia/noticia/2013/01/governo-americano-adverte-para-perigosa-falha-no-programa-java.html

:wink:

De fato, sempre acham alguma coisa nova de insegurança no plugin do Java que roda em browsers. Eu nem tento rodar mais applets na minha máquina porque qualquer atualização do browser (Firefox, Safari, Opera) acaba desabilitando o plugin do Java :frowning: