Oracle · Oracle Java Se · CVE-2022-21449
**Nome do software vulnerável e versões afetadas**
Oracle Java SE versões 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition versões 20.3.5, 21.3.1, 22.0.0.2
**Descrição**
O problema está relacionado à implementação do algoritmo de assinatura digital ECDSA no Oracle Java SE e no Oracle GraalVM Enterprise Edition. Ele permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o sistema, resultando na criação, exclusão ou modificação não autorizada de dados críticos. A vulnerabilidade pode ser explorada usando APIs no componente especificado e se aplica a implantações Java que carregam e executam código não confiável. O número estimado de dispositivos potencialmente afetados não foi especificado.
A vulnerabilidade é causada por uma implementação defeituosa do algoritmo ECDSA, que falha ao verificar se os valores `r` e `s` são zero. Isso permite que um invasor apresente uma assinatura completamente vazia que ainda será aceita como válida pela implementação vulnerável. A exploração bem-sucedida pode levar à contornagem da validação de assinatura, permitindo que um invasor intercepte e modifique mensagens criptografadas ou contorne a autenticação em alguns casos.
Os detalhes técnicos sobre a exploração incluem o uso de APIs no componente especificado, como por meio de um serviço web que fornece dados às APIs. A função `checkPassword()` não é explicitamente mencionada como vulnerável, mas a questão está relacionada à validação de assinaturas digitais.
**Recomendação