Java: Falha de Segurança Permanece sem Correção

O especialista em segurança Sami Koivu, liberou detalhes de uma vulnerabilidade existente no Java que foi relatada para a Sun, em 2008. Entretanto, alguns testes de segurança realizados confirmaram que a falha continua sem correção. A vulnerabilidade refere-se ao diálogo JFileChooser, que pode ser utilizado por applets Java para renomear arquivos sem que haja nenhuma interação do usuário.

Uma versão ligeiramente modificada do demo applet rodando sob a versão atual 1.6.0_23 do Java, é capaz de mover um link a partir do desktop para outra pasta. Com um pequeno refinamento, essa modificação do sistema de arquivos locais (algo que applets assinados supostamente não seriam capazes de fazer) pode ser utilizada para fins maliciosos.

O verdadeiro "escândalo" é que Koivu informou à Sun Microsystems, a então proprietária original do Java, que o problema havia retornado em 2008. No blog do especialista, consta a publicação de detalhes no seu relatório de bugs para a Sun, a resposta da empresa em questão e uma tréplica.

O incidente torna-se ainda mais grave pelo fato de que as vulnerabilidades no Java são rotineiramente utilizadas para infectar com malware os computadores. De acordo com dados do Microsoft Malware Protection Center, em 2010, Java foi o alvo mais freqüente de ataques de sites maliciosos. Agora só resta saber quanto tempo a Oracle, que adquiriu a Sun Microsystems em 2009, irá levar para produzir um patch.


Saiba Mais:

[1] Slightly: http://slightlyrandombrokenthoughts....grammatic.html