Nova vulnerabilidade do Java 7 abre portas para ataque de 10 anos de idade

Falha permite a crackers contornar a sandbox do software e executar um código arbitrário no sistema subjacente.

 

Pesquisadores da empresa de pesquisa de vulnerabilidades Security Explorations afirmam ter identificado uma nova vulnerabilidade no Java 7, que pode permitir a atacantes contornar a sandbox (mecanismo de segurança) do software e executar um código arbitrário no sistema subjacente.

A vulnerabilidade foi divulgada na quinta-feira (18) para a Oracle, juntamente com o código prova de conceito (PoC), disse Adam Gowdiak, CEO e fundador da Security Explorations, em uma mensagem no fórum Full Disclosure.

De acordo com Gowdiak, a vulnerabilidade está localizada na Reflection API (application programming interface), um recurso que foi introduzido no Java 7 e que tem sido fonte de muitas vulnerabilidades críticas no software até o momento. A empresa de segurança confirmou que o código de exploração PoC funciona no Java SE 7 Update 25 e versões anteriores, disse.

O novo problema identificado pela Security Explorations pode permitir a crackers executar um ataque "clássico", conhecido há pelo menos 10 anos, disse Gowdiak. Este tipo abordagem costumava ser usada para afetar a máquina virtual (VM) Java em seus primeiros dias, no final dos anos 90, disse via e-mail.

"É um desses riscos os quais deve-se proteger, em primeiro lugar, quando novos recursos são adicionados ao Java no nível VM núcleo", disse Gowdiak. É surpreendente descobrir que a proteção contra este tipo de ataque não foi implementada para a Reflection API no Java 7, quando estava sendo desenvolvido, disse.

O pesquisador afirma que a vulnerabilidade permite a atacantes violar uma característica fundamental da segurança da VM - a segurança do seu sistema de tipagem.

"Como resultado do ataque, pode-se realizar operações arbitrárias de conversão de tipo entre tipos de dados do Java como um inteiro e um ponteiro", disse ele por e-mail. "Em Java, as operações de conversão de tipo precisam seguir regras rígidas, para que a memória seja acessada de forma segura."

Gowdiak criticou a implementação da Reflection API no passado, dizendo que o recurso não parece ter sido submetida a uma revisão de segurança completa.

Ele acredita que a presença desta nova vulnerabilidade no Java 7 levanta dúvidas sobre a eficácia da garantia de segurança de software da Oracle e práticas de revisão de código de segurança. "Uma enorme quantidade de bugs passam despercebidos por essas políticas e procedimentos", disse ele.

Fonte: IDG Now

Como diz o Ditado: "Recordar, é viver", mais uma vez provando, que estudar falhas antigas, pode fazer a diferença na vida de um Analista de Segurança...