A Oracle lançou uma nova atualização de segurança do Java para solucionar múltiplas vulnerabilidades, incluindo uma explorada durante um ataque recentemente descoberto que possibilitava a escuta em comunicações encriptadas.

No último mês na conferência de segurança Ekoparty em Buenos Aires, os pesquisadores de segurança Juliano Rizzo e Thai Duong demonstraram um método prático de interceptar tráfegos SSL e TLS. O ataque, do tipo MITM (Man-In-The-Middle), foi batizado como BEAST (Browser Exploit Against SSL/TLS).

Para impulsionar o ataque, Duong e Rizzo tiveram que enganar um mecanismo de segurança do navegador Mozilla que impede que diferentes websites afetem uns aos outros, e conseguiram isso explorando uma vulnerabilidade no plug-in Java. Identificada como CVE-2011-3389, essa vulnerabilidade quase levou os desenvolvedores do Firefox a banirem o Java do navegador, após a descoberta do ataque BEAST. Porém, isso foi impedido por um acordo alegando que essa ação deixaria muitas aplicações sem funcionar, especialmente em ambientes corporativos onde o Java é usado extensivamente.

A Mozilla anunciou oficialmente esta semana que bloquear o Java está fora de questão por enquanto, especialmente depois que a Oracle lançou uma correção para a vulnerabilidade. Entretanto, é importante notar que distribuir o patch não necessariamente mitiga o ataque BEAST totalmente, porque o Java é só uma das várias tecnologias que podem ser explorada para alcançar o mesmo resultado!

Uma correção completa envolveria migrar toda a Internet para TLS 1.1, uma versão do protocolo que não está vulnerável a esse ataque e está disponível desde 2006! De qualquer forma, obviamente isso é mais fácil falar que fazer, e não vai acontecer do dia pra noite, se é que vai acontecer.

Apesar de sua importância como a única implementação do BEAST até agora, essa vulnerabilidade do Java não tem uma classificação de alto risco. De acordo com uma notificação da Oracle, o CVE-2011-3389 tem uma pontuação base de 4.3 – de um máximo de 10 na escala CVSS (Common Vulnerability Scoring System), que é o esquema de classificação de risco das vulnerabilidades de segurança.

Outras vulnerabilidades referidas nessa nova atualização do Java são consideradas muito mais críticas, como as 5 falhas de execução de código arbitrário (com classificação máxima de risco), entre outras. Um problema separado de SSL/TLS afetando a sandbox de aplicações Java e um bug que permitia DNS cache poisoning também foram consertados.

Até agora não há relatos de ataques BEAST (além da demonstração feita na Ekoparty), mas isso pode mudar no futuro, então recomenda-se fortemente aos usuários instalarem a atualização assim que possível. Na verdade, como é um dos plug-ins de navegadores mais atacados, manter o Java atualizado deveria ser uma prioridade em geral.

Nota do Coruja: O excelente post acima foi pego do blog do Seginfo, mantido pelos meus amigos da Clavis. Um ponto que eu acho importante ressaltar é que vocês devem realizar testes de compatibilidade com as suas aplicações com a nova release do JAVA liberada pela Oracle para correção dos problemas reportados acima.

Há reports ue algumas aplicações apresentaram problemas utilizando esta nova release do JAVA. Então, antes de colocar qualquer patch ou correção de segurança, teste-o muito bem para que você não crie novos problemas para o seu ambiente.

Compartilhar:

Este post tem 2 comentários

  1. O openjre também sofria da mesma vulnerabilidade ou era só com o jre?

  2. acredito que a vulnerabilidade afetou a todos.

Deixe uma resposta

Fechar Menu