O especialista em segurança Nico Waisman, da empresa de segurança Immunity, divulgou na sexta-feira (26) detalhes técnicos (clique aqui para acessar) sobre uma falha já corrigida no Java Runtime Environment que permite executar um programa Java dentro do navegador web (applet) sem que o internauta seja consultado. Por motivos de segurança, o Java 7 exige, desde a atualização 11, uma confirmação do usuário para executar applets no navegador. Com a falha, esse aviso simplesmente não aparece.
A brecha já foi corrigida na atualização 21 do Java 7, lançada no dia 16 de abril, de acordo com a Immunity. Quem ainda não atualizou o Java, porém, está vulnerável.
Quando executado dentro de navegadores web, o Java utiliza uma tecnologia de isolamento chamada de sandbox ("caixa de areia"). Esses programas não podem realizar alterações permanentes no sistema. No entanto, diversas falhas foram encontradas, permitindo que applets maliciosos escapassem do isolamento. Por esse motivo, o Java foi modificado para sempre questionar o usuário antes de executar um applet.
Com essa configuração, o internauta pode decidir não executar um applet malicioso, mesmo que ele tente explorar uma falha ainda não corrigida no Java.
No entanto, usando a brecha descoberta pela Immunity, é possível, com apenas algumas linhas de código, burlar o aviso. O motivo é que o Java expõe o parâmetro que marca um applet como validado ou não. Basta criar um arquivo de configuração para o applet marcando ele como já validado e o Java não irá exibir a janela de confirmação.
O blog Security Obscurity fez um vídeo demonstrando como a falha pode ser usada em conjunto com outras para executar código sem nenhuma interação do internauta, além da visita a um site (assista ao vídeo). No vídeo, o código de demonstração apenas abre a calculadora do Windows.
A segurança do Java Runtime Environment (JRE), software usado para executar programas em Java, tem sido duramente criticada recentemente. As críticas levaram a Oracle a atrasar o lançamento do Java 8. Em seu blog pessoal, o arquiteto da linguagem justificou que os engenheiros que estão trabalhando na segurança da plataforma não tiveram tempo para trabalhar nos novos recursos planejados (clique aqui para acessar).
