Vulnerabilidade no Oracle Java JDK7

http://g1.globo.com/tecnologia/noticia/2011/08/pacotao-de-seguranca-desative-o-java-para-ficar-mais-seguro-na-web.html

O link fala :
Infeção em um clique
Supondo que você esteja com a versão mais nova do Java e que ela não apresente falhas de segurança, os problemas ainda não acabaram. Isso porque os applets Java, esses que executam dentro do navegador, ainda podem solicitar a ?liberação? de todos os recursos. Essa tela tem apenas dois botões: ?Executar? e ?Cancelar?. Um clique no Executar e pronto: o computador está infectado.

Se você acessar www.asldlasla.nf/mulherpelada.exe e clicar em executar vai acontecer a mesma coisa…

Mas pelo que entendi a falha permite que a applet rode sem confirmação… ?

Mas ela consegue passar por cima da proteção do SO ?

Essa notícia aí é de 2011 e foi motivada pelo aviso que o firefox estava dando na época (para desativar o plugin do java)…

Eu estou com muito medo agora pois eu pensava que eles não deixariam algo tão explícito ficar disponível para hackers.
Agora tenho que acompanhar as notícias para ver no que isso vai dar.

Aiai :frowning:

[quote=jmmenezes]Achei a noticia do G1 um pouco sensacionalista… Na boa… não consegui entender porque a falha era tão grave… (ou realmente não entendi falha).

Eles falam que a falha prejudica qualquer sistema, bla bla bla por sair da sandbox, mas pergunto.

  • Ele conseguia fazer a execução da applet sem qualquer aviso em um linux por exemplo ?
  • Ele conseguia passar as permissões do SO (por exemplo um usuário não root no linux ou um usuário não administrador no windows) ?

Se realmente ele conseguia fazer tudo isso somente digitando www.pagina.com, então realmente é grave… caso contrário… sensacionalismo puro! No momento que eu permiti a applet rodar devo estar ciente… Agora se a applet consegue passar por cima do sistema de permissões do SO… tem algo errado…[/quote]
tem razão.

[quote=jmmenezes]Achei a noticia do G1 um pouco sensacionalista… Na boa… não consegui entender porque a falha era tão grave… (ou realmente não entendi falha).

Eles falam que a falha prejudica qualquer sistema, bla bla bla por sair da sandbox, mas pergunto.

  • Ele conseguia fazer a execução da applet sem qualquer aviso em um linux por exemplo ?
  • Ele conseguia passar as permissões do SO (por exemplo um usuário não root no linux ou um usuário não administrador no windows) ?

Se realmente ele conseguia fazer tudo isso somente digitando www.pagina.com, então realmente é grave… caso contrário… sensacionalismo puro! No momento que eu permiti a applet rodar devo estar ciente… Agora se a applet consegue passar por cima do sistema de permissões do SO… tem algo errado…[/quote]

Sensacionalista ao extremo …