SegInfo – Portal, Podcast e Evento sobre Segurança da Informação
Notícias, Artigos e Inovação em Tecnologia e Segurança da Informação
Semana passada foi divulgada uma falha em um componente da solução de ERP SAP que expõe as senhas de usuários da plataforma. Este mecanismo, chamado de SAP Download Manager, é baseado em Java e, como o nome diz, possui o objetivo de gerenciar o download de arquivos, tornando possível baixar diversos pacotes simultaneamente ou agendar… Read More
Na última semana a Apple enviou uma atualização de segurança para as versões Leopard (10.5) e Snow Leopard (10.6) do Mac OS que corrigiu um total de 27 vulnerabilidades no Java. A empresa de Jobs afirmou que algumas das falhas poderiam ser exploradas para executar código fora da sandbox do Java. No entanto, a companhia… Read More
A Oracle disponibilizou um pacote de correções críticas para o Java SE e Java for Business, corrigindo 21 vulnerabilidades de segurança nos dois produtos, além de correções não relacionadas a segurança. Não existem workarounds para as vulnerabilidades, e por este motivo a Oracle recomenda a atualização imediata do JDK e JRE 6 Update 23 e… Read More
A Oracle lançou ontem (15/02) uma atualização para a máquina virtual Java, que envolve a JRE (Java Runtime Environment), Java SE e Java for Business. A nova versão 1.6.0_24-b07 trouxe correções para 21 vulnerabilidades e 1 bug. Veja mais detalhes sobre as vulnerabilidades em Oracle Java SE and Java for Business Critical Patch Update Advisory… Read More
A Google anunciou na última sexta (04/02) que está desenvolvendo uma série de extensões para o Java com o objetivo de proteger programas desenvolvidos em Java contra ataques de estouro de buffer. A ideia é adicionar uma funcionalidade chamada Contracts, ou Design-By-Contract (DBC). Veja mais informações em Google extensions could aid Java security – Computerworld.
A Oracle publicou uma correção emergencial para o Java, corrigindo uma vulnerabilidade que pode fazer com que os sistemas travem, podendo ser utilizada por usuários maliciosos sem autenticação. Dentre os produtos vulneráveis, estão o Java SE e o Java for Business. Uma lista completa dos produtos afetados e links para os patches recomendados podem ser… Read More
A OWASP lançou a versão 3 do OWASP CSRFGuard, uma biblioteca disponibilizada como software livre (licença BSD) com o objetivo de mitigar os riscos de ataques do tipo Cross-Site Request Forgery (CSRF) em sistemas JavaEE. Com a utilização do CSRFGuard, a aplicação JavaEE utiliza tokens de prevenção CSRF enviados pelo browser do cliente via HTTP,… Read More
A pwnshell é um shell JSP para servidores rodando J2EE. Caso um site que execute servidores J2EE consiga permita fazer upload de arquivos sem fazer verificação por tags JSP, o pwnshell permitirá navegar pela árvore de diretórios visível através do usuário da aplicação web, executar comandos arbitrários de sistema e exibir e alterar variáveis de… Read More
A Apple anunciou na última sexta (12/11) que não atualizará mais o Java e o Flash no Mac OS X, deixando a responsabilidade para a Oracle e a Adobe. A decisão complementou o anúncio de que a Apple não irá mais fornecer o Java junto do Mac OS X. A empresa se comprometeu a manter… Read More
O site de tecnologia ZDNet mantém uma área específica para falar sobre segurança – o ZDNet Zero Day – e traz algumas estatísticas interessantes sobre seus leitores. Dos leitores de um blog de segurança da informação, teoricamente mais instruídos sobre o assunto do que o usuário médio, alarmantes 35,55% rodam versões do Adobe Flash com… Read More