Falha no java e suas versoes 5 6 e 7 atinge mais de 1 bi de computadores entre pcs e mac entre suas diferentes versoes!
Oracle nao deu estimtiva de correcao
Não gosto de ler as notícias locais porque elas não dizem exatamente quais são os problemas.
Leiam diretamente no site da ComputerWorld americana:
(O site da ComputerWorld brasileira não traduz imediatamente todas as notícias, talvez leve algum tempo para isso sair em português, se é que vai sair. Eu prefiro como eles trabalham atualmente, ou seja, eles dão mais atenção às noticias brasileiras. )
Boa Noite!
Logo Logo a Oracle liberar uma correção, parece que desabilitando a execução de applet no navegador já resolve.
Cordialmente.
Brigado pelo link da computer world amer!
Boa noite pessoal,
Gostaria de saber uma coisa. Na notícia diz que a falha pode afetar sistemas rodando Windows e Mac OS. Sistemas rodando Linux não são atingidos mesmo?
Se sistemas linux não forem atingidos, isso não cheira mais a uma falha de S.O. ao invés de falha na VM?
O que vocês acham?
Abraços
[quote=gilsonpolito]Boa noite pessoal,
Gostaria de saber uma coisa. Na notícia diz que a falha pode afetar sistemas rodando Windows e Mac OS. Sistemas rodando Linux não são atingidos mesmo?
Se sistemas linux não forem atingidos, isso não cheira mais a uma falha de S.O. ao invés de falha na VM?
O que vocês acham?
Abraços[/quote]
Bom Dia!
Eu acho que isso independe de S.O.
Att.
[quote=gilsonpolito]Boa noite pessoal,
Gostaria de saber uma coisa. Na notícia diz que a falha pode afetar sistemas rodando Windows e Mac OS. Sistemas rodando Linux não são atingidos mesmo?
Se sistemas linux não forem atingidos, isso não cheira mais a uma falha de S.O. ao invés de falha na VM?
O que vocês acham?
Abraços[/quote]
Afeta sim… eu testei… acontece assim:
- Primeiro pede confirmação de executar a applet (a não ser que você deixe no automático)
- Ele sai da sandbox e se você for um usuário com o minimo de inteligência e acessar a internet com poucas permissões, ele irá lhe pedir a senha do root (sabe o sudo)…
- Se você colocar a senha do root dança…
Nossa que falha de segurança grave hein!!! Afinal… todo dia precisamos digitar a senha do root enquanto navegamos pela internet!
Boa tarde jmmenezes,
Pelo que entendi do seu teste, além de dar permissão ao Applet (O que geralmente é necessário autorização do usuário) para que a falha seja realmente explorada, ainda é necessário fornecer a senha do root, ou seja, é necessário que o usuário forneça 2 informações (e convenhamos dar a senha de root para uma página de internet hein!).
Volto a minha questão. Acredito que possua falhas na VM sim, uma vez que na minha concepção não existe software perfeito, mas isso também não é uma falha de segurança de SO (pensando no caso do windows)?
Abraços
[quote=gilsonpolito]Boa tarde jmmenezes,
Pelo que entendi do seu teste, além de dar permissão ao Applet (O que geralmente é necessário autorização do usuário) para que a falha seja realmente explorada, ainda é necessário fornecer a senha do root, ou seja, é necessário que o usuário forneça 2 informações (e convenhamos dar a senha de root para uma página de internet hein!).
Volto a minha questão. Acredito que possua falhas na VM sim, uma vez que na minha concepção não existe software perfeito, mas isso também não é uma falha de segurança de SO (pensando no caso do windows)?
Abraços[/quote]
Não sei pois não fiz teste no windows, mas acredito que a pior falha do windows são os usuários que quase sempre estão no grupo de administradores (e tem muitos que acham que são um usuário avançado e por isso precisam estar nesse grupo).
A partir do Vista o UAC ajuda, mas antes… tem muita coisa que não funciona se não for adm da máquina…
Mesmo assim a falha é pq a “Sandbox” deveria impor limitações… a Applet ser assinada por um certificado reconhecido… enfim… não sei direito a respeito dessas limitações, mas vejo que no momento que forneceu a senha do root, qualquer coisa que aconteça mesmo que não devesse acontecer, não é assim, uma falha tão grave!
Pois é. É isso que penso também. Uma vez que você forneça a senha ou autorize a execução como administrador a culpa deixa de ser da tecnologia em questão e passa a ser do usuário no meu ponto de vista.
Cabe ao usuário saber se a fonte da assinatura do certificado é confiável.
O grande problema acredito que seja a inocência de usuários comuns em acreditar que não existe perigos em páginas da web.
Abraços
[quote=gilsonpolito]Pois é. É isso que penso também. Uma vez que você forneça a senha ou autorize a execução como administrador a culpa deixa de ser da tecnologia em questão e passa a ser do usuário no meu ponto de vista.
Cabe ao usuário saber se a fonte da assinatura do certificado é confiável.
O grande problema acredito que seja a inocência de usuários comuns em acreditar que não existe perigos em páginas da web.
Abraços[/quote]
Exatamente…
Afinal… rodar uma applet no browser pode trazer tanto perigo quanto um programa .exe!!! Na verdade não deveria por causa da sandbox… mas não deixa de ser um programa bem mais poderoso que uma simples página!
E realmente falta essa visão do usuário…
E isso vale para diversas outras tecnologias que utilizam plugins dentro do browser…
Informação que quase 2 Bilhões de usuários são afetados, mas será que esses 2 Bilhões acessam aplicações Aplpets?
Eu mesmo, o máximo que eu acesso são as de bancos.
Não por ter receio de acessar, mas sim por não conhecer algum site que ainda usa applet.
Posso estar enganado mas se for contar apenas as pessoas que usam applets esse número de 2 bilhões cai bastante
[quote=brunorota]Informação que quase 2 Bilhões de usuários são afetados, mas será que esses 2 Bilhões acessam aplicações Aplpets?
Eu mesmo, o máximo que eu acesso são as de bancos.
Não por ter receio de acessar, mas sim por não conhecer algum site que ainda usa applet.
Posso estar enganado mas se for contar apenas as pessoas que usam applets esse número de 2 bilhões cai bastante[/quote]
Justamente nos bancos. Apesar do uso dos applets estar muito limitado, alguém pode levar uma bordoada boa. Mas seriam poucos usuários. Não é grave assim não.
[quote=juliocbq][quote=brunorota]Informação que quase 2 Bilhões de usuários são afetados, mas será que esses 2 Bilhões acessam aplicações Aplpets?
Eu mesmo, o máximo que eu acesso são as de bancos.
Não por ter receio de acessar, mas sim por não conhecer algum site que ainda usa applet.
Posso estar enganado mas se for contar apenas as pessoas que usam applets esse número de 2 bilhões cai bastante[/quote]
Justamente nos bancos. Apesar do uso dos applets estar muito limitado, alguém pode levar uma bordoada boa. Mas seriam poucos usuários. Não é grave assim não.[/quote]
Bom dia a todos,
Na minha opinião é sim muito grave uma notícia como essa. Desde quando comecei a trabalhar com Java sempre foi passada a idéia de segurança na linguagem, então isso é muito sério, se pensar que mexe diretamente com o dinheiro das pessoas já que afeta o acesso a internet banking.
Acho que a Oracle deve dar uma atenção especial a isso na minha visão.
Porém no caso da aplicação dos bancos, a applicação applet é segura (deveria ser hehehe), o problema é alguém criar um site com uma aplicação applet que “vai ferrar seu pc” e o usuário ir lá e permitir executar o applet.
Não estou falando que não é grave, estou falando que também não é assim como a mídia esta passando, quem não conhece do assunto acha que java é um vírus, que o simples fato de usar java vai ser invadido ou coisa do tipo e que 2 bilhões de usuários já pegaram o “vírus” java e como eu disse, existem poucos applicativos em applets, é como o usuário que usa o windows, baixar um .exe de origem desconhecida e mandar executar.
[quote=brunorota]Porém no caso da aplicação dos bancos, a applicação aplet é segura, o problema é alguém criar um site com uma aplicação applet que “vai ferrar seu pc” e o usuário ir lá e permitir executar o applet.
Não estou falando que não é grave, estou falando que também não é assim como a mídia esta passando, quem não conhece do assunto acha que java é um vírus, que o simples fato de usar java vai ser invadido ou coisa do tipo e que 2 bilhões de usuários já pegaram o “vírus” java e como eu disse, existem poucos applicativos em applets, é como o usuário que usa o windows, baixar um .exe de origem desconhecida e mandar executar.
[/quote]
Também não acho que seja algo tão grave assim, só acho que a Oracle poderia dar uma resposta um pouco melhor do que essa:
“…The company also told him that the bug will be patched in a future Java security update, but that it did not name which.”
Mais ou menos assim, vamos resolver mas não sabemos quando.
Com certeza
Isso precisa ser resolvido o mais rápido, por mais que não seja tão grave quanto estão dizendo, é uma falha e precisa ser corrigida