Oracle corrige mais de 120 falhas de segurança em seus produtos

Na terça-feira (15), a Oracle corrigiu 127 problemas de segurança no Java, em seu banco de dados e outros produtos, abordando algumas falhas que poderiam permitir a crackers assumir o controle dos sistemas.

Essa é a primeira vez que a Oracle incluiu o Java em seu Critical Patch Update (CPU) trimestral como parte do plano anunciado anteriormente pela empresa para aumentar a frequência de correções de segurança liberadas para o Java – de uma a cada quatro meses para uma a cada três.

A nova versão do Java SE 7 Update 45 (7u45) liberada na terça-feira contém 51 das 127 correções de segurança – 50 delas podem ser exploradas remotamente, sem que seja necessária autenticação e 12 delas receberam a classificação mais alta de risco, o que significa que elas podem ser usadas para assumir controle completo do sistema operacional subjacente.

Fora essas 51 vulnerabilidades corrigidas nessa atualização de segurança do Java, 40 delas afetam apenas implementações de clientes, que incluem o frequetemente atacado plugin do Java para navegadores, e 8 afetam implementações tanto do cliente quanto do servidor.

Essas brechas podem ser exploradas por meio de aplicações Java Web Start ou Java applets e, no caso das falhas que também afetam as implementações em servidores, enviando dados para interfaces de programação de aplicativos ( APIs) nos componentes vulneráveis.

Duas outras vulnerabilidades Java corrigidas neste comunicado afetam sites que executam a ferramenta Javadoc como um serviço e recebem a documentação resultante. A Javadoc é usada para criar arquivos de documentação em HTML.

A última vulnerabilidade afeta o jhat, uma ferramenta de desenvolvimento que pode ser usada para executar a análise do Java heap.

Outros problemas

As outras 76 correções de segurança nesta CPU que não estão relacionadas ao Java corrigem vulnerabilidades nas seguintes famílias de produtos Oracle: Oracle Database, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle iLearning, Oracle industry Applications, Oracle FLEXCUBE, Oracle Primavera, Oracle e Sun Systems Products Suite, Oracle Linux e Virtualization e Oracle MySQL.

Duas vulnerabilidades foram corrigidas no Database Server e ambas podem ser exploradas remotamente sem autenticação e podem resultar no comprometimento parcial da confidencialidade dos dados. 

Corrigir uma deles requer que os clientes ativem a criptografia de rede entre os seus software-cliente e servidores, caso os dados sejam enviados por meio de redes não confiáveis​, disse Eric Maurice, diretor de garantia de software da Oracle, em um post no blog da empresa.

Além destas duas vulnerabilidades, duas outras que se aplicam ao Oracle Fusion Middleware também se aplicam às implementações de banco de dados.

As tabelas que listam o número exato de vulnerabilidades corrigidas em cada produto, a classificação de gravidade e as versões dos produtos que afetam estão incluídas na CPU da Oracle de outubro.

Além do Java 7 Update 45, a Oracle também liberou o Java 6 Update 65 e o Java 5 Atualização 55, que corrigem as vulnerabilidades que também se aplicam às versões mais antigas. 

No entanto, a empresa descontinuou o suporte público para ambos as versões 5 e 6 do Java, portanto, essas novas atualizações de segurança estão disponíveis apenas para clientes com contratos de suporte estendido.

“A fim de corrigir de forma eficiente um patch tão grande com mais de 120 vulnerabilidades, recomendamos trabalhar na seguinte sequência: primeiro o Java, já que é o software mais atacado nessa atualização; depois vulnerabilidades em serviços que são expostos à Internet, tais como Weblogic, HTTP e outros”, disse Wolfgang Kandek, o CTO da empresa de gerenciamento de vulnerabilidades Qualys, em um post no blog na terça-feira.

“Esperamos que os bancos de dados não estejam diretamente expostos à Internet, o que deve dar a você mais tempo para trazê-los para os últimos níveis de correção”, continuou.