Menos de 24 horas depois de a Oracle apresentar um boletim de atualização de segurança que endereçava duas vulnerabilidades críticas do tipo Zero-Day em Java, um perfil online começou a ofertar um bug a linguagem open source totalmente novo.
Curta, no Facebook, a Fan Page do IT Web
“Um administrador de um forum voltado ao cibercrime publicou na segunda-feira uma mensagem informando que vendia um novo Zero-Day Java a dois compradores sortudos. O custo: a partir de US$ 5 mil cada”, disse o repórter de segurança Brian Krebs, que foi o primeiro a reportar a oferta de venda da vulnerabilidade.
O vendedor ainda disse que o Zero-Day dele – nas últimas versões do Java (Java 7 e atualização 11) – ainda não era parte de nenhum kit de exploração”, disse Krebs. Mas a vulnerabilidade já estava nas mãos de, pelo menos, um invasor. “O código será vendido duas vezes (já foi vendido uma)”.
De acordo com o anúncio de vendas, a vulnerabilidade Zero-Day está pronta para ser usada e inclui suporte via mensagem pessoal (PM, da sigla em inglês) – presumivelmente via o sistema de chat do forum.
A velocidade reduzida com a qual a Oracle entrega os patches de segurança também gerou críticas de especialistas em segurança. Além do mais, alguns boletins do Java foram considerados como desleixados e não totalmente endereçados a falhas que haviam sido constantemente exploradas pelos invasores.
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…