Forum de cibercrime vende exploração Zero-Day do Java
Menos de 24 horas depois de a Oracle apresentar um boletim de atualização de segurança que endereçava duas vulnerabilidades críticas do tipo Zero-Day em Java, um perfil online começou a ofertar um bug a linguagem open source totalmente novo.
Curta, no Facebook, a Fan Page do IT Web
“Um administrador de um forum voltado ao cibercrime publicou na segunda-feira uma mensagem informando que vendia um novo Zero-Day Java a dois compradores sortudos. O custo: a partir de US$ 5 mil cada”, disse o repórter de segurança Brian Krebs, que foi o primeiro a reportar a oferta de venda da vulnerabilidade.
O vendedor ainda disse que o Zero-Day dele – nas últimas versões do Java (Java 7 e atualização 11) – ainda não era parte de nenhum kit de exploração”, disse Krebs. Mas a vulnerabilidade já estava nas mãos de, pelo menos, um invasor. “O código será vendido duas vezes (já foi vendido uma)”.
De acordo com o anúncio de vendas, a vulnerabilidade Zero-Day está pronta para ser usada e inclui suporte via mensagem pessoal (PM, da sigla em inglês) – presumivelmente via o sistema de chat do forum.
A velocidade reduzida com a qual a Oracle entrega os patches de segurança também gerou críticas de especialistas em segurança. Além do mais, alguns boletins do Java foram considerados como desleixados e não totalmente endereçados a falhas que haviam sido constantemente exploradas pelos invasores.
