Falha permite a crackers contornar a sandbox do software e executar um código arbitrário no sistema subjacente.
A vulnerabilidade foi divulgada na quinta-feira (18) para a Oracle, juntamente com o código prova de conceito (PoC), disse Adam Gowdiak, CEO e fundador da Security Explorations, em uma mensagem no fórum Full Disclosure.
De acordo com Gowdiak, a vulnerabilidade está localizada na Reflection API (application programming interface), um recurso que foi introduzido no Java 7 e que tem sido fonte de muitas vulnerabilidades críticas no software até o momento. A empresa de segurança confirmou que o código de exploração PoC funciona no Java SE 7 Update 25 e versões anteriores, disse.
O novo problema identificado pela Security Explorations pode permitir a crackers executar um ataque "clássico", conhecido há pelo menos 10 anos, disse Gowdiak. Este tipo abordagem costumava ser usada para afetar a máquina virtual (VM) Java em seus primeiros dias, no final dos anos 90, disse via e-mail.
"É um desses riscos os quais deve-se proteger, em primeiro lugar, quando novos recursos são adicionados ao Java no nível VM núcleo", disse Gowdiak. É surpreendente descobrir que a proteção contra este tipo de ataque não foi implementada para a Reflection API no Java 7, quando estava sendo desenvolvido, disse.
O pesquisador afirma que a vulnerabilidade permite a atacantes violar uma característica fundamental da segurança da VM - a segurança do seu sistema de tipagem.
"Como resultado do ataque, pode-se realizar operações arbitrárias de conversão de tipo entre tipos de dados do Java como um inteiro e um ponteiro", disse ele por e-mail. "Em Java, as operações de conversão de tipo precisam seguir regras rígidas, para que a memória seja acessada de forma segura."
Gowdiak criticou a implementação da Reflection API no passado, dizendo que o recurso não parece ter sido submetida a uma revisão de segurança completa.
Ele acredita que a presença desta nova vulnerabilidade no Java 7 levanta dúvidas sobre a eficácia da garantia de segurança de software da Oracle e práticas de revisão de código de segurança. "Uma enorme quantidade de bugs passam despercebidos por essas políticas e procedimentos", disse ele.
Fonte: IDG Now
Como diz o Ditado: "Recordar, é viver", mais uma vez provando, que estudar falhas antigas, pode fazer a diferença na vida de um Analista de Segurança...
0 comentários:
Postar um comentário