quarta-feira, 6 de março de 2013

Oracle libera correção de emergência para vulnerabilidade do Java

Empresa sai do ciclo regular de atualizações pela segunda vez este ano. Intenção é corrigir uma falha explorada ativamente.


A Oracle liberou na segunda-feira (4/3) uma atualização emergencial para o Java, a fim de corrigir duas vulnerabilidades críticas do software - uma delas, inclusive, está sendo ativamente explorada por crackers em ataques direcionados.

As vulnerabilidades, identificadas como CVE-2013-1493 e CVE-2013-0809, estão localizadas no componente 2D da linguagem de programação. A falha recebeu a pontuação mais alta na classificação de risco da Oracle.

"Essas brechas podem ser exploradas remotamente sem autenticação. Por exemplo, elas podem ser exploradas por meio de uma rede sem a necessidade de um nome de usuário e senha", disse a companhia em um alerta de segurança. "Para um exploit ser bem sucedido, um usuário desavisado executando uma versão afetada no navegador deve visitar uma página web maliciosa que se aproveita dessas vulnerabilidades. Ataques bem-sucedidos podem afetar a disponibilidade, integridade e confidencialidade do sistema do usuário."

Os recém-lançados updates incluem o Java 7 Update 17 (7u17) e Java 6 Update 43 (6u43) - a empresa pulou as atualizações 7u16 e 6u42 sem razão aparente.

A Oracle observou que o Java 6u43 será a última atualização disponível para Java 6 e aconselha os usuários a atualizarem para o Java 7. Os updates do Java 6 deveriam terminar com Java 6 Update 41, lançado em 19 de fevereiro, mas parece que a empresa fez uma exceção para este patch de emergência.

Fonte: IDGNOW

Pesquisar neste blog