Exploit tem como alvo vulnerabilidade crítica que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código.
Os cibercriminosos foram rápidos para integrar um exploit recém-lançado para uma vulnerabilidade Java corrigia em junho a uma ferramenta usada para lançar ataques em massa contra os usuários, informou um pesquisador independente de malware.
O código malicioso tem como alvo uma vulnerabilidade crítica identificada como CVE-2013-2465, que afeta todas as versões do Java anteriores ao Java 7 Update 25 e permite a execução remota de código. A falha foi corrigida pela Oracle durante a June Critical Patch Update for Java.
O exploit foi divulgado na segunda-feira (12) pela equipe de pesquisa em segurança da Packet Storm Security, que originalmente o adquiriu por meio do seu programa de recompensas de bugs como um exploit 0-day - um exploit para uma vulnerabilidade não corrigida.
A Packet Storm publicou os exploits que adquiriu 60 dias após recebê-los, com a permissão de seus autores, para que outros profissionais de segurança pudessem usá-los para realizar testes de penetração e avaliações de risco de segurança.
Dois dias depois do seu lançamento, o exploit CVE-2013-2465 já foi integrado nos chamados kits de exploração - ferramentas de ataque que infectam computadores com malware, explorando as vulnerabilidades em um software desatualizado quando os usuários visitam páginas comprometidas.
Um pesquisador independente de malware que usa o pseudônimo Kafeine identificou uma instalação ao vivo do kit de exploração Styx, anteriormente conhecido como Kein, que está usando o tal novo exploit.
Do ponto de vista de um atacante, o exploit para a CVE-2013-2465 é melhor do que o exploit para a CVE-2013-2460 - outra vulnerabilidade Java também corrigida em junho, que foi recentemente integrada a um kit de ferramentas de ataque diferente chamado Private Exploit Pack, disse Kafeine nesta quinta-feira, em um post no seu blog.
Um pesquisador independente de malware que usa o pseudônimo Kafeine identificou uma instalação ao vivo do kit de exploração Styx, anteriormente conhecido como Kein, que está usando o tal novo exploit.
Do ponto de vista de um atacante, o exploit para a CVE-2013-2465 é melhor do que o exploit para a CVE-2013-2460 - outra vulnerabilidade Java também corrigida em junho, que foi recentemente integrada a um kit de ferramentas de ataque diferente chamado Private Exploit Pack, disse Kafeine nesta quinta-feira, em um post no seu blog.
A Oracle encerrou o suporte público para o Java 6 em abril e não vai mais lançar atualizações de segurança para ele. Apesar disso, o Java 6 ainda é amplamente utilizado, especialmente em ambientes corporativos.
Um estudo recente da empresa de segurança Bit9 mostrou que mais de 80% dos computadores corporativos possuem o Java 6 instalado. A versão Java mais amplamente implantada nesses sistemas foi a Java 6 Update 20.
A última versão disponível publicamente do Java 6 é o Java 6 Update 45, que também é afetada pelo CVE-2013-2465. A vulnerabilidade foi corrigida no Java 6 Update 51, mas esta versão está disponível somente para os usuários que estenderam os contratos de suporte com a Oracle.
O fato de que um exploit para CVE-2013-2465 estar disponível ao público e já ter sido integrado a toolkits de ataque em massa sugere que essa brecha em breve presenciará uma exploração generalizada.
Os usuários que ainda precisam atualizar para o Java 7 Atualização 25 podem querer fazê-lo o mais breve possível.
Isso porque a CVE-2013-2465 afeta tanto o Java 6 quanto o 7, enquanto que a CVE-2013-2460 só afeta o Java 7, disse ele.
Um estudo recente da empresa de segurança Bit9 mostrou que mais de 80% dos computadores corporativos possuem o Java 6 instalado. A versão Java mais amplamente implantada nesses sistemas foi a Java 6 Update 20.
A última versão disponível publicamente do Java 6 é o Java 6 Update 45, que também é afetada pelo CVE-2013-2465. A vulnerabilidade foi corrigida no Java 6 Update 51, mas esta versão está disponível somente para os usuários que estenderam os contratos de suporte com a Oracle.
O fato de que um exploit para CVE-2013-2465 estar disponível ao público e já ter sido integrado a toolkits de ataque em massa sugere que essa brecha em breve presenciará uma exploração generalizada.
Os usuários que ainda precisam atualizar para o Java 7 Atualização 25 podem querer fazê-lo o mais breve possível.
Isso porque a CVE-2013-2465 afeta tanto o Java 6 quanto o 7, enquanto que a CVE-2013-2460 só afeta o Java 7, disse ele.
0 comentários:
Postar um comentário