This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

A Oracle lança patch para o último buraco Java - atualizar agora!

Filed Under: Featured, Malware, Vulnerability

O grande - não, a grande! a enorme! - Notícias de segurança no fim de semana tem sido CVE-2013-0422.

Essa é a recente falha de segurança do Java que permite que applets Java em seu navegador fuga de restrições de Java segurança.

Isso significa que um applet Java (que normalmente é muito limitado no tipo de mudanças que pode fazer para o seu PC) pode infectar seu PC com malware sem muito como um pop-up ou um são-you-se.

Esta vulnerabilidade se tornou um grande problema em pouco tempo, pois foi rapidamente incluídas em pacotes de exploração tais como EK fresco e Pack Nuclear. Pacotes de exploração são pré-embalados crimeware-as-a-service ferramentas que você pode alugar, a fim de ter o seu malwares distribuídos para você.

Então aqui vai uma boa notícia:. Oracle foi na bola e já sair com um patch Java 7 Update 11 corrige tanto CVE-2013-0422 e uma segunda vulnerabilidade.

Nas próprias palavras do behemoth banco de dados:

Devido à gravidade destas vulnerabilidades, a divulgação pública de detalhes técnicos e de exploração relatado de CVE-2013-0422 "in the wild", a Oracle recomenda que os clientes apliquem as atualizações fornecidas por este alerta de segurança o mais rápido possível.

Esta atualização também altera o padrão Java Nível de Segurança cenário de médio a alto.

Como a Oracle explica, no ajuste de alta, você está "sempre solicitado antes de qualquer applet Java assinado ou aplicativo Java Web Start é executado."

Não há uma quantidade enorme de dizer sobre o patch para além disso. Fix cedo, corrigir muitas vezes!

Note-se que as vulnerabilidades corrigidas apenas da Oracle não se aplicam a aplicativos Java ou instala do lado do servidor Java. Eles se aplicam apenas a applets, que funcionam dentro do seu navegador.

Seu navegador rotineiramente e, inevitavelmente, coloca você em perigo, uma vez que, inevitavelmente, downloads e tenta analisar, processar e exibir, conteúdo não confiável.

Assim, mesmo após a atualização, eu recomendo que você vire Java fora dentro do seu navegador , a menos que você sabe que você precisa.

Se houver apenas um ou dois locais específicos para os quais você precisa Java, ele pode ser uma dor para manter lembrando-se de ligá-lo, e é fácil esquecer de desligá-lo novamente depois.

Em tais casos, você pode querer considerar a execução de dois navegadores, um com Java habilitado e um sem.

Claro que, se você fizer isso, você precisa manter os dois navegadores remendado - mesmo (ou talvez especialmente, já que é o único com Java ativado), a uma só usar com frequência.

A propósito, se você ativar o Java em seu navegador, ou pensa que fez, vale a pena verificar.

Um bom lugar para fazer isso é Javatester.org , uma página da web que tenta lançar um applet pequena para obter a resposta "da boca do cavalo", como ele diz.

Se você tem o Java desligado, ele vai confirmar isso para você.

Se você tem o Java ativado, será a confirmação do número da versão precisa do Java Runtime Environment (JRE) em si. Isto significa que você pode ter certeza de que você está executando a versão que você espera.

E agora? Pare de ler, começar a remendar!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog