Vulnerabilidade crítica na máquina virtual Java do Mac OS X ainda não foi corrigida pela Apple
Corrigida pela Sun em dezembro do ano passado nas versões para Windows e Linux, uma vulnerabilidade crítica na máquina virtual Java do Mac OS X ainda pode atingir seus usuários. A falha já é conhecida há quase um ano, e mesmo com os últimos updates de segurança liberados pela Apple junto do Leopard 10.5.7, pesquisadores na área de segurança afirmam que ela ainda está presente no sistema da Maçã.
Segundo Julien Tinnes, especialista em segurança que conta com um blog próprio para tratar de falhas dessa natureza, esse tipo de brecha pode deixar todo o sistema exposto a uma execução arbitrária de código, que pode ser na linguagem Java ou em qualquer outra por meio de um arquivo executável. Ela pode explorar até os mesmos privilégios do usuário da máquina, o que pode ser ainda mais perigoso se você a utiliza com sua conta de administrador do sistema.
O pior é que essa falha não depende de outros códigos nativos, apenas de Java, o que significa que é possível escrever um aplicativo 100% malicioso apenas em Java, capaz de rodar em qualquer computador de qualquer plataforma em qualquer aplicativo que dependa deste, incluindo um simples navegador de internet. Resumindo: até abrindo uma applet em Java no seu navegador você fica vulnerável a essa falha, já que ainda não foi corrigida no sistema da Apple.
Landon Fuller, o descobridor da brecha, recomenda que a máquina virtual Java seja desativada em seu navegador até que ela receba um update de segurança da Apple, o que pode levar um certo tempo. Além disso, é recomendado que os usuários do Safari vão até as preferências — Command + , — e desativem a opção “Abrir arquivos ’seguros’ após o download”, para reduzir as chances de uma applet baixar arquivos sem o consentimento do usuário.
Uma demonstração de como essa falha pode afetar o seu sistema pode ser encontrada nesta aplicação Java. Utilizando código arbitrário, ela consegue fazer o serviço de Fala do Mac OS X dizer qual o privilégio do usuário que está logado neste momento em sua máquina. Se você usa o firewall do sistema para gerenciar suas conexões de entrada e saída, a aplicação nem mesmo vai esperar que você aceite o alerta de segurança para rodar.
[Dica do Evandro, obrigado!]
Assustador!
caramba!! assustador mesmo!!
Acho que o melhor seria desabilitar o Java no Safari:
Safari->Preferences->Security->Web content->Disable Java
Após ter feito este procedimento o link do Landon Fuller citado acima não funciona !!!
Será por causa que as outras versões gerenciadas pela Sun estão em 1.6 e a do Mac em 1.5?
ASSUSTADOR!
Olha que esse código para fazer o mac falar assusotu.
A Apple já está no 1.6. Mas só pra quem usa Leopard. Odeio essas coisas "amarradas" da Apple.
Mas se eu tenho o 10.5.7, porque ainda estou com o 1.5? Está tudo atualizado…
Mais assustador ainda é o fato do descaso da Apple em relação a essa falha que já foi encontrada a quase 01 ano. Viva o lucro…….
Desabiliei o Java no Firefox e vou usar ele para navegar em sites deconhecidos para o sites conhecidos como bancos vou usar o Safari.
Não existe sistema seguro a informação é a melhor arma para se manter protegido.
Bah… assustou….
"I am executing an innocuous user process"
o bom e ruim ao mesmo tempo do java é que tu pode Descompilar o arquivo…. eu já estou vendo todo o código do hack aqui….
No hack que ele usou eu só não consegui executar nada com permissão de administrador….
então eu acho que ainda estamos protegidos.
Normal. A Apple demorou vários meses para liberar a versão 6 do java para o OSX. Para as correções também demoram vários meses. Triste.