Menos de 24 horas depois de a Oracle apresentar um boletim de atualização de segurança que endereçava duas vulnerabilidades críticas do tipo Zero-Day em Java, um perfil online começou a ofertar um bug a linguagem open source totalmente novo.
Curta, no Facebook, a Fan Page do IT Web
“Um administrador de um forum voltado ao cibercrime publicou na segunda-feira uma mensagem informando que vendia um novo Zero-Day Java a dois compradores sortudos. O custo: a partir de US$ 5 mil cada”, disse o repórter de segurança Brian Krebs, que foi o primeiro a reportar a oferta de venda da vulnerabilidade.
O vendedor ainda disse que o Zero-Day dele – nas últimas versões do Java (Java 7 e atualização 11) – ainda não era parte de nenhum kit de exploração”, disse Krebs. Mas a vulnerabilidade já estava nas mãos de, pelo menos, um invasor. “O código será vendido duas vezes (já foi vendido uma)”.
De acordo com o anúncio de vendas, a vulnerabilidade Zero-Day está pronta para ser usada e inclui suporte via mensagem pessoal (PM, da sigla em inglês) – presumivelmente via o sistema de chat do forum.
A velocidade reduzida com a qual a Oracle entrega os patches de segurança também gerou críticas de especialistas em segurança. Além do mais, alguns boletins do Java foram considerados como desleixados e não totalmente endereçados a falhas que haviam sido constantemente exploradas pelos invasores.
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…
A evolução da inteligência artificial nos serviços financeiros ainda esbarra em desafios relacionados à experiência…
A Motorola Solutions anunciou a assinatura de um acordo definitivo para adquirir a D-Fend Solutions,…
Nesta terça-feira (2), a Meta anunciou a expansão global de configurações de conteúdo para contas…