juniorcloves enviou: Devido a recente falha encontrada no Java Runtime Environment, eEye critica Sun por acumular falhas para lançar ajustes.

fonte: idgnow


A Sun Microsystems está colocando milhões de usuários de Java em risco de ataque com sua atitude em acumular falhas para lançar ajustes de segurança, de acordo com pesquisadores de segurança da eEye.

Para ilustrar o problema, a eEye aponta uma recente falha no Java Network Launching Protocol, do Java Runtime Environment, utilizado para rodar programas Java.

Crackers poderiam, com esta falha, configurar um site malicioso que instala softwares não-autorizados em qualquer PC que tivesse códigos Java ativados visitasse a página. Embora o ajuste tenha sido feito em junho, a Sun ainda precisa agilizar os mesmos a milhões de usuários de Java pelo mundo.

Contudo, a Sun apenas divulgou uma nota aos desenvolvedores na página de download da Java.sun.com - sem revelar mais detalhes sobre o ajuste.

A justificativa se baseia no fato de que os desenvolvedores precisam ter certeza que a atualização não possui mais problemas. “Nós fazemos testes adicionais antes de entregarmos o produto ao usuário”, declarou um porta-voz da Sun, Jacki Decoster.

O problema é que uma agenda de divulgação de notas dá aos criminosos uma brecha para criar um código e atacar milhões de usuários que ainda não ajustaram as falhas, declarou o gerente de tecnologia da eEye, Marc Maiffret.

“O processo de atualização da Sun é horrível, pois eles lançaram ajustes para esta falha algumas semanas atrás, além de correções para diferentes versões terem sido lançadas em seguida”, declarou Maiffret. “Se as pessoas tivessem feito a engenharia reversa na correção há algumas semanas, teriam uma boa estrutura em mãos”, completa.

A Sun declarou que resolverá o problema ainda esta semana para que criminosos não tenham tempo de desenvolver um código de ataque.