O Departamento de Segurança Interna (DHS, na sigla em inglês) alertou os norte-americanos sobre uma falha perigosa na versão mais recente de Java e aconselhou os usuários a desativar o Java para impedir a exploração..

Quando a falha do dia zero foi descoberta pela equipe CERT (Computer Emergency Readiness Team) do DHS, já existiam kits de exploração disponíveis publicamente, aproveitando-se da falha de segurança..

O problema decorre de uma lacuna de permissões no Java 7 que permite que um usuário externo eleve os privilégios de um applet Java não confiável para instalar malware, emitir um ataque de negação de serviço ou manipular a máquina afetada..

A resposta do DHS ao aprendizado da ameaça potencial foi emitir um aviso com instruções para desativar o conteúdo Java em navegadores da Web, uma sugestão rara de uma organização que vê muitos códigos quebrados.

Fixando Java

No relatório emitido pelo CERT do DHS, a equipe disse: "Atualmente, não temos conhecimento de uma solução prática para esse problema".

Em resposta, a Apple bloqueou o plugin Java 7 OS X. Microsoft e Google ainda não responderam formalmente.

A Oracle disse à Reuters que "uma correção estará disponível em breve" e não elaborou.

Há rumores de que a Oracle sabia sobre o potencial risco de segurança no código do Java 7 já em outubro de 2012..

Via ZDNet