Nesta semana falamos duas vezes sobre as vulnerabilidades encontradas no Java 7 [1, 2]. Mesmo após a Oracle ter lançado uma atualização que trouxe o suporte total à sétima versão no OS X, exploits ainda podem ser utilizados por desenvolvedores maliciosos.
Segundo a PCWorld, a Oracle já sabia das vulnerabilidades no Java desde abril. Alertada pela firma de segurança Security Explorations, esta e outras 17 vulnerabilidades foram encontradas no Java 7. Apesar disso, Adam Gowdiak — CEO da companhia — acredita que os desenvolvedores do malware encontrado na semana passada não tiveram acesso às informações apuradas pela firma, já que ele explora as brechas de uma forma diferente.
A forma com que a classe
SunToolkit
e seu métodogetField
foram utilizados para ultrapassar a sandbox da Java Virtual Machine é diferente da que nós demonstramos para a Oracle. […] Nós não sabemos com quem ou de qual forma/nível de detalhamento a Oracle está compartilhando as informações sobre as vulnerabilidades.
Como sabemos, a Oracle libera atualizações de segurança para o Java a cada quatro meses. A última atualização, lançada em junho, corrigiu apenas três brechas destacadas pela Security Explorations. Segundo Gowdiak, a Oracle planeja disponibilizar mais uma atualização de segurança em outubro, corrigindo outros três exploits.
Se você não faz uso do Java em seu Mac, é recomendável que desinstale-o (Aplicativos » Utilitários » Preferências de Java), já que a maior parte do malwares utilizam ele ou o Flash para atacar os computadores da Maçã.