domingo, setembro 09, 2012


SEGUNDA-FEIRA, 27 DE AGOSTO, 2012

Grave vulnerabilidade não corrigida Java está a ser explorada por atacantes

Ele descobriu uma vulnerabilidade no Java para os quais não existe remendo , que está a ser explorada por atacantes, e cujo código é público. 's o pior cenário possível .

Ainda não se sabe muito sobre a vulnerabilidade, uma vez que não teve tempo para fazer um estudo exaustivo, mas foram relatados por agora coloca-nos o pior cenário possível .

FireEye descobriu um servidor com um frasco. Que explorava uma vulnerabilidade. Então, alguém sabe e está usando a falha. Através de um domínio de terceiro nível dinâmico (aa24.net) e servidor de web-mail de uma empresa chinesa (que provavelmente foi atacado), é (ainda) a distribuição de malware, graças a esta decisão em Java.



Através de um índice na " reunião "do servidor, de modo ofuscado Javascript, o malware está sendo distribuídoé esta:


e


O problema afeta a versão mais recente do Java em seu ramo 7, até sua "Update 6 ". Não afeta o ramo 6, que ainda está de pé, mas está em período de " extinção ". Ele funciona em todos os principais navegadores  e EMET mesmo ativo.

Embora os pesquisadores que descobriram que não oferecem detalhes, um terceiro lançou uma prova de conceito para explorar a falha, o que abriu a porta para qualquer um poderia explorar . O código é simples, limpo, funcional e confiável. Compilar e lançar. Logo depois, ele foi apresentado como um módulo em Metasploit. Essa licença para qualquer atacante pode começar a distribuir seus malwares própria (provavelmente durante os próximos dias, você pode ver na Blackhole mania exploit kit entre os atacantes).Se, como já dissemos mais de uma vez, a máquina virtual Java vantagem não atual é que a maioria dos criadores de malware para distribuir suas amostras, esta vulnerabilidade permite que " o mercado aberto "também entre atual.

Extrato do código. Jar


Na ausência de um adesivo eficaz, não há nenhuma maneira simples para aliviar o problema . A melhor prática é desativar o Java no navegador. Ninguém sabe quando a Oracle vai resolver o problema. O seu ciclo de atualização trimestral, sugere que até 16 de outubro não pode parcheen o problema muito sério. Desde então, a Oracle não costuma emitir patches fora do ciclo. Raramente tem feito com sua base de dados, seu principal produto. Mas certamente não com Java desde que ele pertence.

Em abril de 2010 Tavis Ormandy e Ruben Santamarta descobriu uma falha de segurança grave no JRE. A Ormandy da Oracle disse que não foi considerada grave o suficiente para publicar qualquer coisa antes do prazo fixado. Uma semana depois, eles lançaram um patch fora do ciclo (Java 6 Update 20), que não estabelecer a correção da vulnerabilidade. Eles tiveram que provar que não parava falha ocorrer, mas não houve confirmação oficial.

Algumas semanas atrás, escreveu em um-a-dia, um título que (obviamente nos levando certas licenças) afirmou: "Se você não atualizar o Java, estão infectados ". Com a intenção de chamar a atenção para o fato de que uma grande parte dos agressores foram aproveitando muito recentes falhas enormes em Java e que a maneira mais eficaz de defender foi atualizado. Estamos vivendo dia a dia no laboratório. Agora podemos acrescentar que,mesmo se ele é atualizado com medidas extras de segurança, como o EMET, há um risco de um invasor executar código no sistema .

Mais informações:

Zero-Day Temporada ainda não acabou

Java 7 informações sobre vulnerabilidades 0-day e mitigação.

Java Deployment Toolkit realiza a validação insuficiente de Parâmetros

[0 dias] Java Web Start injeção de linha de comando arbitrário - "-XXaltjvm" dll carga arbitrária

Dom About Face: Fora do Ciclo de patches críticos falha Java Update

Fonte: Sergio de los Santos [ Homepage ]

0 comentários:

Postar um comentário