A
Apple lançou uma atualização de segurança (security update) para o Java em seu Mac OS X, enquanto a Mozilla colocou na "blacklist" (lista negra) todas as versões
não atualizadas do Java no Firefox (ao menos no Windows). A atualização
de segurança da Apple para a sua implementação Java no Mac OS X traz o lançamento mais recente da Oracle,
a versão 1.6.0_31.
Uma
série de falhas na versão anterior do Java para Mac OS X, baseada na versão
1.6.0_29, foram sendo exploradas por uma nova versão do trojan Flashback e, sem nenhuma atualização disponível, a única opção que restou aos usuários do Mac
OS X foi desabilitar o Java, de forma a se proteger dessa ameaça. As
falhas permitem a execução de código arbitrário fora do sandbox do
Java; para isso bastava o usuário visitar uma página com uma applet Java malicioso não
confiável, e seu sistema seria comprometido. A
atualização para o Java da Apple está disponível para Mac OS X 10.7 (Lion) e
10.6.8 (Snow Leopard) além das versões para servidores, podendo ser instaladas
através da atualização de software do Mac OS X. Os
detalhes das mudanças estão disponíveis na seção sobre segurança de
conteúdo Java para o Mac OS X Lion 2012-001 e no Update 7 do Mac OS X 10.6 ( About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7).
As
vulnerabilidades que vêm sendo exploradas pelo trojan Flashback são as mesmas
que estão sendo usadas como parte de um ataque em larga escala
em sistemas Windows. Apesar dessa atualização ter sido diponibilizada em fevereiro, em geral leva um certo tempo até que uma parte considerável da população as obtenha, o que torna as vulnerabilidades muito úteis para os autores do
malware.
A Mozilla anunciou que, para garantir que essas versões mais antigas não sejam utilizadas, a lista de bloqueio para o Firefox do Windows irá incluir agora o Plugin Java para o Java SE 6 Update 30 e anteriores, além do Java SE 7 Update 2 e anteriores. A lista de bloqueio impedirá os usuários de usar essas versões mais antigas, a menos que ele faça uma escolha explícita, quando notificado do bloqueio, para manter o plugin habilitado. A empresa não adicionou o plugin do Java à lista de bloqueio na Apple, já que no momento do anúncio a atualização do Java para o Mac OS X ainda não havia sido disponibilizada. A Mozilla também tem planos de adicionar versões mais antigas do plugin para o Mac na lista de bloqueio em breve. Os usuários do Windows podem atualizar sua instalação do Java baixando uma versão atualizada do Java Runtime Environment (JRE).
Fonte:
Nenhum comentário:
Postar um comentário