Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Vinicius Ianni

Java: Falha de Segurança Permanece sem Correção

Recommended Posts

Java: Falha de Segurança Permanece sem Correção

Fonte: Under Linux

 

O especialista em segurança Sami Koivu, liberou detalhes de uma vulnerabilidade existente no Java que foi relatada para a Sun, em 2008. Entretanto, alguns testes de segurança realizados confirmaram que a falha continua sem correção. A vulnerabilidade refere-se ao diálogo JFileChooser, que pode ser utilizado por applets Java para renomear arquivos sem que haja nenhuma interação do usuário.

 

Uma versão ligeiramente modificada do demo applet rodando sob a versão atual 1.6.0_23 do Java, é capaz de mover um link a partir do desktop para outra pasta. Com um pequeno refinamento, essa modificação do sistema de arquivos locais (algo que applets assinados supostamente não seriam capazes de fazer) pode ser utilizada para fins maliciosos.

 

O verdadeiro "escândalo" é que Koivu informou à Sun Microsystems, a então proprietária original do Java, que o problema havia retornado em 2008. No blog do especialista, consta a publicação de detalhes no seu relatório de bugs para a Sun, a resposta da empresa em questão e uma tréplica.

 

O incidente torna-se ainda mais grave pelo fato de que as vulnerabilidades no Java são rotineiramente utilizadas para infectar com malware os computadores. De acordo com dados do Microsoft Malware Protection Center, em 2010, Java foi o alvo mais freqüente de ataques de sites maliciosos. Agora só resta saber quanto tempo a Oracle, que adquiriu a Sun Microsystems em 2009, irá levar para produzir um patch.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Espero que a Oracle resolva isso rápido.

Compartilhar este post


Link para o post
Compartilhar em outros sites

A Sun Microsystens não tem mais nada haver com java não ??

 

vendeu tudo pra oracle tomar conta ?

 

Na verdade... a Oracle comprou a Sun. A Sun Microsystems não existe além dos livros de história.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu sei .. kkk

 

Mais minha duvida não foi exatamente essa

 

Eu queria dizer , se o pessoal que fez o java do 0 no caso a Sun Microsystens ..

 

não dao suporte pra oracle em bugs to tipo

 

ou e so o pessoal da oracle que administra a linguagem agora :o

Compartilhar este post


Link para o post
Compartilhar em outros sites

Os funcionários da Sun certamente foram absorvidos pela Oracle, mas daí a saber se as equipes responsáveis pelo Java permanecem em suas mesmas atividades eu já não saberia responder. Até mesmo por que a própria Oracle tem sua "divisão" para tratar assuntos da Máquina Virtual Java, visto que a Oracle possui sua própria JVM (JRockit). Não sei se há algum esclarecimento da Oracle para o mercado neste sentido. Também não sei informar por quantas andam o projeto OpenJDK, que funcionava parecido com o OpenOffice.

 

Essas compras no mundo da tecnologia são bem perigosas, a Oracle deixou o mercado de tecnologia instável com a compra da Sun, essas falhas são mais cobradas agora, todos querem saber qual será a postura da Oracle. Se a Oracle não resolver logo este e outros problemas, colocará toda a plataforma tecnológica em "xeque". Algo semelhante deve acontecer com o MySQL. Um produto que deve ter alguma atenção por parte da Oracle deve ser o VirtualBox, dada a grande demanda do mercado por soluções de virtualização.

 

Por isso que a The Document Foundation deu logo solução para um possível problema com o OpenOffice. Infelizmente nem todos os "problemas" podem ser solucionados da mesma forma.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Acho que afetaria todos os websites que usam ele como bd, fora os cms como joomla.

Claro que os site que usam atualmente nao seriam afetados enquanto seu provedor manter o suporte ao mysql, mas ao longo do tempo isso tenderia a sumir, e dessa forma ocorrer uma migração forçada para outro bd.

 

O ruim disso é a reescrita de várias linhas de código pois cada bd tem suas peculiaridades e isso vai implicar num custo para os proprietários desses sites.

 

Claro que isso é só um exemplo, pois conheço sistemas desktop que usam o mysql bem como sistemas voltados para empresas que também o usam.

 

Esse rumor surgiu na epoca da compra, mas a Oracle desmentiu isso, dizendo que ia manter o suporte ao mysql, mas a comunidade não confiou e correram desenvolver uma alternativa ao mysql quando for absorvido pela Oracle.

 

Como sabemos que nenhuma empresa é santa, estou sempre de olho no que está acontecendo para não ser pego de surpresa no meio de algum projeto.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tirar o MySQL do mercado seria perder dinheiro. Acredito que no máximo ela poderia cobrar pela licença em uma versão FULL, por exemplo.

 

Quanto ao Java, não acredito que a Oracle iria adquiri-lo para deixar de lado, sendo que é uma linguagem muito poderosa e tem um bom mercado no mundo inteiro. Seria perder dinheiro novamente...

 

Espero não está errado em nenhuma das minhas interpretações... seria péssimo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bem , tiraria o banco de dados de mercado .. jogar dinheiro fora ?

 

Eles deviam pensando na hipotese de tirar o MySQL de mercado pra uns 10% de usuarios

 

passar a usar oracle , não so pela segurança .. eu so levei a serio por essa questão que me encomoda

 

as vezes , hehe . mais enfim , uns 50% de habitantes do mundo usa MySQL Não ? :(

Compartilhar este post


Link para o post
Compartilhar em outros sites
Bem , tiraria o banco de dados de mercado .. jogar dinheiro fora ?

Sim, seria o mesmo que o Google compra o Youtube e simplesmente acaba com o site para dar foco ao Google Vídeos.

 

Quem garante que ao ter que migrar para o Oracle os desenvolvedores não migrarão para SQL Server?

 

Hoje é mais fácil encontrar SQL Server do que Oracle em hospedagens. Isso quer dizer que a Oracle teria que criar uma segunda linha de banco de dados para quem utiliza MySQL ou então reduzir o valor da licença.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tenho dito que para o usuário final, nos dias de hoje ter JAVA Plugin instalado, é estar pisando em um campo minado com botas de ferro.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eu me refiro ao plugin, pois ele expõe o usuário a uma camada de vulnerabilidades. Que para um usuário comum não compensa correr tamanho risco só para ostentar o Java instalado em seu sistema.

 

A Sun E Oracle trabalha tão bem, que lança uma versão para corrigir a falha da versão anterior, até ai ok.

Mas quando se instala a atualização (nova versão) a velha não é eliminada.

Sendo assim você esta exposto do mesmo jeito a vulnerabilidade antiga. :S Confuso

Compartilhar este post


Link para o post
Compartilhar em outros sites

A Sun E Oracle trabalha tão bem, que lança uma versão para corrigir a falha da versão anterior, até ai ok.

Mas quando se instala a atualização (nova versão) a velha não é eliminada.

Sendo assim você esta exposto do mesmo jeito a vulnerabilidade antiga. :S Confuso

 

Qual produto remove a versão antiga ao instalar a nova versão? O instalador poderia até sugerir, o que de fato seria até mais inteligente.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Qual produto remove a versão antiga ao instalar a nova versão?

Pode até não remover, mas a desativação deveria ocorrer, pelo menos para que a nova versão trabalhasse de forma isolada.

Um exemplo desse tipo de processo são os updates da microsoft, que desativam serviços quando não são encontradas soluções para a vulnerabilidade.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.