A falha foi descoberta pela Trend Micro exploit CVE-2015-2590 essa falha foi usada para fazer o ataque as forças armadas de um país membro da OTAN e as defesas norte-americanas.
No seu patch mais recente a Oracle fez o conserto de 25 falhas do Java inclusive uma que já era bem explorada nos ataques. A Oracle liberou o update 51 para o Java 8, o update 85 para o java 7 e o update 101 para o java 6 sendo que deles somente o primeiro é público pois o suporte para as versões anteriores se esgotou há alguns anos e está disponível apenas a clientes com contratos de extensão.
Eric Maurice, diretor de segurança de software da Oracle informou que Entre os reparos, um é específico à plataforma Mac e quatro são para o Java Secure Socket Extension (JSSE).
Além da linguagem de programação a Oracle também fez uma gama de outros produtos, como Database, Oracle Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, Siebel CRM, Communications Applications, Java SE, Sun Systems Products Suite, Linux and Virtualization e MySQL. Ao todo, 193 vulnerabilidades foram reparadas, das quais 44 eram decorrentes de componentes externos.
Vale observar que das 25 falhas que foram corrigidas 23 podem ser exploradas remotamente sem a necessidade de autenticação, com 16 vulnerabilidades afetando somente a implementação para clientes e 5 atingindo a implementação de clientes e servidores.
Foi reparado na atualização a falha CVE-2015-2590, que possuía status de dia zero, ou seja, era explorada por agressores enquanto não era disponibilizada uma solução. Ela foi descoberta por pesquisadores da Trend Micro em ataques que feitos às forças armadas de um país membro da OTAN não identificado e às defesas dos Estados Unidos.
Essas agressões foram feitas por um grupos que se intitula Pawn Storm ou APT28, supostamente ligado ao serviço secreto russo. Ativo desde 2007, ele costuma se focar em organizações militares, midiáticas e governamentais.
O Java que é usado em aplicações Web de ambientes corporativos, raramente é encontrado em sites voltados ao consumidor, eliminando a necessidade do plug-in na maioria dos navegadores de usuários finais, alvos da maioria das explorações da plataforma.
Pode ser realizada a remoção e a inabilitação manual do Java nos navegadores instalados em um computador, mas o plug-in pode ser reabilitado automaticamente em sua próxima atualização. Desinstalá-lo do sistema costuma ser inviável, pois algumas aplicações ainda o exigem.
A Oracle adicionou uma opção no painel de controle da plataforma. Este painel serve de central para a inabilitação do suporte a conteúdo baseado em Java nos navegadores.
Para as empresas que dependem do suporte Java para a Web elas terão mais trabalho para se defenderem das explorações de dia-zero, mas algumas opções já reduzem a probabilidade de ataque. O Internet Explorer, por exemplo, possui uma ferramenta que permite aos administradores restringirem os sites com permissão de carregar conteúdo Java, enquanto o Mozilla Firefox e Google Chrome oferecem a opção de clicar para reprodução, usada para prevenir a execução automática de conteúdo baseado na linguagem de programação.
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário