Todo um estardalhaço foi feito graças a descoberta de sérias vulnerabilidades contra o JAVA nessa semana. Também teve o problema quanto ao Ruby, mas isso era de se esperar e vale um outro post.

Muita gente correu para remover o JAVA de seus computadores, mas esquecendo que boa parte das soluções de internet banking em nosso país são baseados nele.

Well, o vídeo abaixo demonstra uma das última, se não for a última vulnerabilidade JAVA sendo explorada:

Já estes links apontam para o download do exploit que explora estas vulnerabilidades:
Exploits:
http://pastebin.com/raw.php?i=cUG2ayjh
http://www.exploit-db.com/exploits/24045/

Vale lembrar que não há, até o momento, correção para este problema.

Obrigado ao leitor Nathan Scapini pela dica 🙂

Trabalho há 15 anos com servidores aplicacionais JAVA, e por causa disso, muita gente veio me perguntar se precisavam correr quanto a atualização do JAVA em seus servidores.

Pois bem, vejam o que a Oracle diz sobre esta vulnerabilidade : – http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html :

This Security Alert addresses security issues CVE-2013-0422 (US-CERT Alert TA13-010A – Oracle Java 7 Security Manager Bypass Vulnerability) and another vulnerability affecting Java running in web browsers. These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications. They also do not affect Oracle server-based software.

Em resumo, esta vulnerabilidade só afeta browser e usuários finais que utilizam JAVA.

A atualização do JAVA nos servidores acarreta na pré-validação e compilação do código para uma nova versão. Digo isso porque a maioria dos programas JAVA que rodam por aí foram compilados no JAVA 1.5 e 1.6. São poucos os casos de sistemas e ambientes que já estão rodando no JAVA 1.7.