A Microsoft anunciou nesta segunda-feira (18) que uma "onda sem precedentes" de ataques estão explorando vulnerabilidades no Java.

Segundo um post de Holly Stewart, gerente do Microsoft Malware Protection Center (MMPC), tentativas de explorar bugs na linguagem Java dispararam nos últimos nove meses, passando de menos de meio milhão no primeiro trimestre de 2010 para mais de 6 milhões no terceiro.

Ele disse que a explosão no número de exploits é "assustadora", além de surpreendente.

A Oracle é uma rival da Microsoft, principalmente no mercado de banco de dados corporativos, onde o SQL da Microsoft concorre com o principal produto da Oracle.

Stewart observou que a maior parte dos ataques no trimestre terminado em 30 de setembro estavam explorando apenas três vulnerabilidades no Java, sendo que todos haviam sido consertados meses ou mesmo anos atrás.

Mais de 3,5 milhões dos 6 milhões de ataques, por exemplo, tentaram explorar uma falha do Java Runtime Environment (JRE) que foi corrigida em dezembro de 2008. Outros 2,6 milhões de ataques adicionais tinham como alvo um buffer overflow no Java e no JRE, consertado em dezembro de 2009.

Stewart tinha uma teoria de por que o grande aumento nos ataques passou despercebido, baseando-se no que ela diz ser "cegueira Java" por parte dos fornecedores que produzem e vendem sistemas de prevenção de intrusão e detecção de intrusão (IDS e IPS, respectivamente), softwares que "farejam" e param exploits antes que eles cheguem aos computadores de uma empresa.

Faz sentido para os atacantes criar exploits contra vulnerabilidades do Java, disse Marc Fossi, diretor de segurança da Symantec. "Como o Java é tanto multi-browser quanto multi-plataforma, pode ser atraente para os atacantes", disse.