• Oracle Corrige 40 Falhas no Java

    Recentemente a Oracle disponibilizou seu June Critical Patch Update para o java SE e, como esperado, a atualização de 40 brechas de segurança, das quais nenhuma necessitava de autenticação para ser utilizada, e 37 delas já estavam sendo exploradas na rede. A companhia recomenda que todos os seus usuários instalem essa atualização o mais breve possível. A Oracle deu nota 11 para essas vulnerabilidades, sendo que a pontuação máxima é 10.0 na escala CVSS. As falhas afetam todas as versões do Java, incluindo o Java 7 Update 21 e versões anteriores, o Java 6 Update 45 e versões anteriores, e o Java 5 update 45 e suas versões anteriores, de forma geral, mesmo sabendo que o problema parece apenas afetar algumas versões principais específicas do Java. O JavaFX 2.2.21 e versões anteriores também foram afetadas.


    Apenas a versão corrente do Java, o Java SE 7, terá atualização disponível de forma gratuita. Os downloads da nova versão, o Java SE 7 Update 25, já estão disponíveis e as instalações já existentes deverão sofrer o processo de auto-atualização. Os usuários do Mac OS X receberão uma atualização do Java SE para seus sistemas como um processo de atualização automático. Já o Java SE 7 no Mac OS X é atualizado via Oracle. Os usuários de outras versões mais antigas do Java somente receberão atualizações se os mesmos possuírem um contrato de manutenção junto a Oracle.

    Assim como nas atualizações anteriores, apenas quatro brechas afetam as instalações do tipo servidores do Java, enquanto praticamente todos as implantações de clientes são afetadas. Por exemplo, oito das vulnerabilidades mais problemáticas estão no subsistema de gráficos 2D. Um número delas também afetam o AWT e o Java Management Extensions (JMX). Porém, apenas um bug afeta a produção de documentação das páginas HTML do Javadoc, quando colocada em um servidor web que permite ao atacante inserir frames. A companhia recomenda que os usuários do Javadoc regenerem sua documentação. Das poucas brechas locais descobertas, uma estava no instalador, uma no subsistema de rede e uma no subsistema de gráficos 2D.

    Vale ressaltar que essa é a última atualização do Java que irá ocorrer fora da tabela temporal de sincronização que está em funcionamento desde o início deste ano corrente de 2013. A próxima atualização está agendada para ser implementada como parte da agenda normal Critical Patch Update da Oracle, em Outubro deste ano corrente de 2013 (seguida pela de Janeiro de 2014, Abril de 2014 e Julho de 2014).

    Saiba Mais:

    - Heise Online: Oracle releases fixes for 40 Java holes (em Inglês)

    Sobre o Autor: code

    Administrador e Editor do Portal Under-Linux, desenvolvedor Linux e FOSS para Linux, autor de livros e artigos, atuando na área de Educação Digital e P&D com AI.

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L