Adam Gowdiak, que tem conseguido um grande destaque no cenário da segurança da informação encontrando falhas no Java, relatou a descoberta de uma nova vulnerabilidade. A Security Issue 61, de acordo com a contagem de Gowdiak, afeta as versões atuais do Java SE 7, incluindo o mais recente lançamento da versão 1.7.0_21-b11. A vulnerabilidade detectada, está mais uma vez presente na Reflection API e permite que os crackers possam dar um bypass em sua sandbox para acessar o sistema subjacente.
Gowdiak não divulgou mais detalhes sobre a vulnerabilidade, a fim de dar tempo para que a Oracle Corporation possa corrigir o problema. Isso significa que há agora três vulnerabilidades descobertas por Gowdiak que ainda necessitam de correções: 54, 56 e 61, como foram numeradas por ele. Para que um ataque que explora esta vulnerabilidade seja bem sucedido, os usuários terão que reconhecer, obrigatoriamente, o aviso de segurança de que um applet está sendo executado a partir de um web site.
De forma curiosa, a versão do servidor JRE 7 também está vulnerável, de acordo com o analista. No entanto, Gowdiak aborda a questão de como o código de ataque pode ser introduzido no Java VM (no servidor), apenas apontando para as diretrizes da Oracle sobre como se proteger contra injeção de código em Java.
Saiba Mais: http://www.h-online.com/security/news/item/New-Java-security-hole-affects-desktops-and-servers-1848229.html
