Uma série recente de ciberataques contra empresas como Apple, Facebook e Twitter expuseram falhas graves no programa Java, da Oracle, adquirido com a compra da Sun Microsystems em 2009. Especialistas de segurança classificam as vulnerabilidades como graves, pois pedaços do código da aplicação são amplamente utilizados em diversos softwares em todo o mundo, inclusive na maioria dos navegadores de internet para PCs e dispositivos móveis. O departamento americano de Segurança Interior vai mais longe e classifica o problema com tão perigoso que seus usuários devem deixar de utilizar o software.
A falha coloca a Oracle no centro de um quebra-cabeças de difícil resolução. "Agora, usar o Java é um pesadelo e a Oracle não está sendo capaz de 'cobrir todos os buracos' ", afirmou o líder de pesquisa da empresa de segurança AlienVault, Jaime Blasco, ouvido pelo jornal britânico Financial Times. Segundo ele, neste momento, muitos criminosos online tentam quebrar sistemas corporativos e governamentais com as falhas do Java, vendo a situação como a oportunidade mais fácil de iniciar um ataque complexo.
Em uma medida incomum, na semana passada a Apple admitiu que computadores utilizados por alguns de seus funcionários foram infectados por um código malicioso implantado por hackers que exploraram uma vulnerabilidade do Java. O Facebook, na sequência, admitiu ter sofrido da mesma situação crítica, seguido do Twitter, marcando a terceira ocorrência relacionada ao software.
Em um dos esforços para corrigir as falhas, a Oracle lançou grandes pacotes para 50 correções diferentes do Java no início deste mês. Duas semanas depois, mais um extenso pacote foi liberado. A empresa, famosa por seu software de banco de dados, planeja correções extras de emergência em abril, junto com uma atualização pré-programada marcada para junho.
O imbróglio para a Oracle lembra o que ocorreu com a Microsoft no início dos anos 2000, quando a proliferação de brechas de segurança no Windows XP dava aos PCs com o sistema operacional o caráter de altamente vulnerável. "Vírus podiam infectar as máquinas em segundos quando elas se conectavam a internet", lembra o cofundador da Lookout, Kevin Mahaffey.
O problema, segundo especialistas, é que tão logo os erros no software são corrigidos, outros ficam expostos. “É um bug atrás do outro”, lamenta o vice-presidente de pesquisa da VeraCode, Chris Eng, outra companhia de segurança. Para ele, o problema é muito sério, pois hackers continuam a buscar novas brechas para infecção, indetectáveis, tão logo as falhas conhecidas são reparadas.