A vulnerabilidade crítica Java que está atualmente sob ataque foi possível graças a um remendo incompleto, desenvolvedores da Oracle emitidos no ano passado para corrigir um bug de segurança antes, disse um pesquisador.
A revelação, feita sexta-feira pelo Adam Gowdiak de Explorações Polônia baseados em segurança, é o mais recente olho preto para o software Java da Oracle quadro que está instalado em mais de 1 bilhão de PCs, smartphones e outros dispositivos.
Meliantes usar estas façanhas de transformar sites comprometidos em plataformas para a instalação silenciosa keyloggers e outros tipos de software malicioso nos computadores de visitantes desavisados.
Exploits da vulnerabilidade mais recente do Java, que foram observadas pela primeira vez mais de um mês atrás , são a combinação de dois erros. A primeira envolve o Class.forName () e permite o carregamento de arbitrários (restrito) classes. O segundo bug depende da chamada de método invokeWithArguments e também foi um problema com a Edição 32 que a Oracle supostamente corrigido em outubro.
"No entanto, verifica-se que a correção não foi completa, como ainda se pode abusar método invokeWithArguments para configurar chamadas para invokeExact método com uma classe sistema confiável como um chamador método de destino", escreveu Gowdiak. "Desta vez, a chamada é no entanto realizado a métodos de API Reflection novo (a partir de java.lang.invoke. Pacote *), das quais dependem muitas verificações de segurança conduzida contra o chamador do método de destino".
Desenvolvedores do quadro Metasploit para hackers e testadores de penetração ter lançado um módulo que deve explorar a vulnerabilidade em máquinas com o Windows, Apple OS X, e Linux, independentemente do navegador que está usando. O US-CERT, que é afiliado com o Departamento de Segurança Interna, está a aconselhar as pessoas a desabilitar o Java em navegadores web.
FONTE Leia conteudo completo aqui. http://edition.cnn.com/2013/01/11/tech/ ... erability/
