This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Ainda outro Java dia zero-alegou - mas desta vez você está rindo, né?

by Paul Ducklin on January 17, 2013 | Leave a comment

Filed Under: Featured, Oracle, Vulnerability

Investigador cibercrime irreprimível e repórter Brian Krebs tem escrito sobre outro Java zero-day exploit.

Este, ao que parece, tem como alvo uma vulnerabilidade explorável mesmo em Oracle mais recente lançamento , a versão 7 Update 11, também conhecido como 7u11.

Os detalhes da façanha são vagos, porque o submundo está jogando esta muito perto de seu peito.

De acordo com o Krebmeister, o corretor que tinha a explorar para a venda planejada para vendê-lo a apenas dois compradores diferentes, ao invés de locá-la ou oferecê-lo muito:

A ideia de limitar a distribuição é óbvia: os menos exploit entrega-sites que realmente servem a exploração, o que levará mais tempo para se tornar amplamente conhecido, e quanto mais tempo deve durar antes de ser adquirido, dissecados e remendado.

A desvantagem para o criminoso que é a intermediação da venda, é claro, é que ele está limitando seu mercado, embora confiando dois companheiros de ladrões ele corre o dobro do risco de que seu bem mais valioso vai ficar vendido de qualquer maneira.

Parece que um segundo comprador saiu da toca, porque Krebs informa que as vendas arremesso posteriormente desaparecido do fórum subterrâneo em que foi originalmente publicado.

O valor que o vendedor está colocando esta façanha soa um pouco baixo para mim: ele está esperando lucro total de apenas US $ 10.000 para um de confiança, trabalho e Java atual de zero-dia. (Eu não quero soar como se eu acho cibercriminalidade é superficial e prosaico. Eu simplesmente pensei que ele poderia ter pedido e conseguido mais.)

Há muitas razões possíveis para que o valor não menos, que eu estou mal informada sobre preços competitivos no subsolo, e dois primavera mais interessantes à mente:

  • Não há um novo exploit. Ou não é muito bom. É apenas um vento-up.
  • A cobertura noticiosa difundida recomendando que você desligar o Java está empurrando para baixo o preço.

Vamos esperar que a razão é o último.

Em seu excelente papel novo técnico do Kit Exploit Blackhole , SophosLabs pesquisador Gabor Szappanos publicou um relatório sucesso exploit de um servidor Blackhole ao vivo:

Szappi perguntou se havia algum fator no kit de exploração em si que Java favorecida como um vetor.

Talvez, por exemplo, num PC vulnerável a ataques múltiplos, o Java pode-se desencadear mais rápido, e assim, ser sobre-representadas nos relatórios?

Talvez um viés no código pacote exploit significava que outras façanhas foram julgados com menos frequência, dando uma mordida Java injustamente grande na cereja?

Mas esse não foi o caso. Para citar Szappi-se :

Após a avaliação do código revelou-se que [não havia preconceito]. O kit exploit Blackhole é justo com as funções de exploração individuais e não favorecer qualquer um deles ... Então fiquei com a única explicação restante: correções de segurança Java não estão sendo instalados. Os usuários não considerar Java uma ameaça direta, e não se apresse em atualizar seus sistemas.

E esse é o desafio número um de segurança em relação a ameaças da web: fazer os usuários cientes de que o Java é agora o ponto mais fraco. E é fortemente sob ataque.

O consolo é que ele escreveu essas palavras em dezembro de 2012, antes do recente surto de " turn off Java conselho.

Vamos esperar que o conselho compensa.

Por todos os meios instalar o Java. (Eu tenho ele para Android pesquisa e desenvolvimento, por exemplo.) Mas mantê-lo up-to-date, como qualquer outro pacote de software.

Por todos os meios transformar em Java em seu navegador, se essa for sua escolha informada. (Eu tenho ele trancado para fora de meus navegadores como eu simplesmente não usam os sites que necessitam dele.) Mas não habilitá-lo a menos que você realmente precisa.

Não estou pegando no Oracle ou em Java aqui.

Este conselho vale para qualquer plugin ou software navegador que você não precisa.

Livrar-se de funcionalidade que você não está usando tem o nome moderno de "reduzir sua área de superfície de ataque", e ele realmente funciona.

Citei o Sr. Miagi, do filme The Karate Kid , antes, e não tenho dúvida de que vou citá-lo novamente: ". melhor maneira de evitar soco - não estar lá"

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <pre> <q cite=""> <strike> <strong>

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog