• Pesquisadores, Oracle e Correção para Falha 0-Day no Java

    A equipe de pesquisadores de segurança da empresa polonesa Security Explorations, tendo à frente o CEO Adam Gowdiak, continua questionando a Oracle Corporation em relação à decisão da gigante devido a ela não emitir um patch para uma falha crítica que foi detectada no Java SE (Standard Edition) em suas versões 5, 6 e 7. De acordo com a pesquisa, a vulnerabilidade pode permitir que atacantes possam contornar a segurança da sandbox nessas três versões do Java, que são instaladas em quase um bilhão de máquinas ao redor do mundo.







    Falha 0-Day no Java ainda é assunto que gera interrogações

    A falha foi reportada pela empresa algumas semanas antes do previsto Java Critical Patch Update, liberado no último dia 16 de outubro, mas, de acordo com a Oracle, a criação de um patch para testá-lo teria atrasado essa importante atualização. Sendo assim, a Oracle escolheu deixá-lo para a próxima, que está prevista para ser liberada em fevereiro de 2013.

    Levando em consideração que o Oracle Critical Patch Updates passa por um teste de integração extensiva com outros produtos, como a plataforma JRockit, WebLogic Server e E-Business Suite, Adam Gowdiak e sua equipe tentaram realizar um "Small Vulnerability Fix Experiment". Além disso, eles descobriram que a correção pode ser implementada dentro de meia hora, onde apenas 25 caracteres seriam necessários para realizar uma alteração no código fonte a fim de implementá-lo, e que a correção não parece exigir os testes de integração com outros softwares de aplicação da Oracle.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/secworld.php?id=13821

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L