Home > Notícias

Forum de cibercrime vende exploração Zero-Day do Java

Editorial IT Forum 365

17/01/2013 às 19h08

Foto:

Menos de 24 horas depois de a Oracle apresentar um boletim de atualização de segurança que endereçava duas vulnerabilidades críticas do tipo Zero-Day em Java, um perfil online começou a ofertar um bug a linguagem open source totalmente novo.

Assine a Newsletter do IT Web

Siga o IT Web no Twitter

Curta, no Facebook, a Fan Page do IT Web

“Um administrador de um forum voltado ao cibercrime publicou na segunda-feira uma mensagem informando que vendia um novo Zero-Day Java a dois compradores sortudos. O custo: a partir de US$ 5 mil cada”, disse o repórter de segurança Brian Krebs, que foi o primeiro a reportar a oferta de venda da vulnerabilidade.

O vendedor ainda disse que o Zero-Day dele – nas últimas versões do Java (Java 7 e atualização 11) – ainda não era parte de nenhum kit de exploração”, disse Krebs. Mas a vulnerabilidade já estava nas mãos de, pelo menos, um invasor. “O código será vendido duas vezes (já foi vendido uma)”.

De acordo com o anúncio de vendas, a vulnerabilidade Zero-Day está pronta para ser usada e inclui suporte via mensagem pessoal (PM, da sigla em inglês) – presumivelmente via o sistema de chat do forum.

A velocidade reduzida com a qual a Oracle entrega os patches de segurança também gerou críticas de especialistas em segurança. Além do mais, alguns boletins do Java  foram considerados como desleixados e não totalmente endereçados a falhas que haviam sido constantemente exploradas pelos invasores.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail