• CrimeBoss Explorando Falha Recente no Java

    Para aqueles que ainda estiverem usando Java, que continuam fazendo atualizações manualmente e não instalaram os últimos updates liberados no último Critical Patch Update lançado há uma semana, é recomendado que o façam o quanto antes. Esse alerta vem em decorrência de um kit exploit chamado CrimeBoss, que está explorando ativamente a mais recente falha descoberta no Java. A falha explorada (CVE-2013-2423), afeta apenas implantações de clientes Java (versões 7u17 e anteriores), e permite que atacantes remotos possam executar código malicioso, sem precisar de autenticação prévia.


    De acordo com Timo Hirvonen, analista anti-malware da F-Secure, o kit exploit em questão é o CrimeBoss. O exploit teria sido parcialmente copiado a partir do código-fonte do módulo Metasploit, que atinge a referida falha. Na verdade, os pesquisadores relataram que o desenvolvedor do kit exploit fez alguns ajustes para a praga entrar em cena, e assim, ele foi visto sendo usado na natureza a partir de domingo, 21 de abril. Nesse meio tempo, o CEO da Security Explorations, Adam Gowdiak, relatou à Oracle a existência de uma nova falha 0-Day no Java, que afeta todas as versões do Java SE 7, e pode ser usada para dar um bypass no seu sandbox. Porém, essa ação requer a interação do usuário.



    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=14798

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L