FVAL Online - Qualidade com simplicidade

O pesquisador Tavis Ormandy do Google, anunciou na sexta-feira passada (09/04/2010) ter descoberto um bug na máquina virtual da linguagem Java (JVM) que permite a execução de código remoto não autorizado.

Ormandy afirmou que entrou em contato com a equipe da Sun/Oracle, mas que eles menosprezaram o problema. "Eles me disseram que não consideram essa brecha suficientemente prioritária para alterar seu ciclo de atualização do trimestre", informou Ormandy, que completou dizendo: "Eu não concordo com eles".

Procurada pela equipe de reportagem do IDG, a Sun/Oracle não quis comentar o caso.

A empresa liberou um grande pacote de atualizações na semana passada e só deve soltar um outro lote de correções em julho.

Segundo o especialista, a falha acontece porque a linguagem Java permite criar uma biblioteca nociva e determinar à JVM que a instale. Assim, um cracker pode rodar seu programa de ataque.

"A Oracle está cometendo um erro ao não corrigir esse bug imediatamente", afirmou Marc Maiffret, diretor  da empresa de segurança FireEye. Segundo ele, o bug é preocupante porque ele se deve a uma falha de design do Java.

O analista de segurança Russ Cooper, da Verizon, disse que é mais provável que os criminosos prefiram explorar falhas mais conhecidas, como as do Adobe Reader, do que desenvolverem um novo ataque para explorar essa brecha do Java.

Segundo Ormandy, a falha afeta as versões a partir da atualização Java SE 6 para Windows.

A Symantec noticiou que usuários de Linux também podem ser afetados.

Fonte: IDG Now!