Vídeo: URGENT Google Chrome Zero Day flaw security update November 2nd 2020 (Novembro 2024)
Os pesquisadores descobriram mais uma vulnerabilidade de dia zero no Java, e os invasores estão atualmente explorando-a na natureza.
A falha de segurança, se acionada, leva à leitura e gravação arbitrária de memória na Java Virtual Machine, Darien Kindlund e Yichong Lin, dois pesquisadores da FireEye, escreveu no blog do FireEye Malware Intelligence Lab na quinta-feira. Se for bem-sucedido, o código de ataque faz o download de um conta-gotas McRAT e de um Trojan que rouba informações no computador da vítima. É um tipo diferente de falha que algumas das outras que vimos recentemente.
A FireEye disse que vários de seus clientes viram o ataque contra navegadores com o Java ativado. As falhas de segurança estão no Java v.1.6 Update 41 e no Java v1.7 Update 15 mais recente, que foi lançado apenas em 19 de fevereiro, de acordo com o FireEye. Os pesquisadores já divulgaram a vulnerabilidade ao Oracle (CVE-2013-1493). Nenhuma outra informação está disponível atualmente no Oracle.
Mais dias zero
Os pesquisadores do FireEye resumiram bem o sentimento predominante no título do post, “YAJ0: Mais um Java em 0 dias”. Embora o Java tenha sido um alvo de ataque popular por um longo tempo, parece haver uma exploração dos dias zero em Java sendo explorados na natureza nos últimos dois meses. É o mesmo jogo de gato e rato que vimos com outras empresas. Um dia zero é encontrado, a empresa corrige, um novo dia zero é encontrado. Lave, enxágue e repita.
A Oracle, conhecida por sua relutância em liberar patches fora do cronograma, lançou várias atualizações de emergência no ano passado porque os bugs foram muito sérios. A empresa lançou uma atualização agendada em 19 de fevereiro, mas é provável que esse bug cause mais um patch de emergência.
Desative-o ou limite-o
Você está cansado de todo o carrossel e quer uma maneira de pular? Desative o Java no navegador. Desative o plug-in. Mostramos como desativar o Java. Você é uma das muitas, muitas pessoas que precisam do Java para fins profissionais e escolares e não podem desativar o Java no navegador?
Aqui está o que você pode fazer. Você desativa o Java em seu navegador principal padrão. O navegador que você mais usa não deve ter Java. E então você instala o navegador que não usa com tanta frequência - a maioria das pessoas geralmente possui mais de um navegador instalado em seus computadores - e habilita o Java nisso. O importante aqui, porém, é que você nunca, nunca, absolutamente nunca, usa esse navegador para acessar qualquer site que não seja aquele punhado de sites nos quais você precisa executar o Java. Você precisa usar o Blackboard? Você inicia o navegador Java. Você precisa procurar algo que foi mencionado durante a sessão do Blackboard? Em vez de clicar, copie o link, inicie o navegador padrão e cole-o.
Adiciona muitas etapas extras, e posso dizer que é tremendamente irritante. Mas me sinto mais seguro sabendo que estou reduzindo minhas chances de ser atingido por um ataque de água. Pense em todos os desenvolvedores de dispositivos móveis no Facebook, Twitter, Microsoft e Apple. Eles visitaram um site de desenvolvedor do iOS (provavelmente um site que visitaram com regularidade, considerando seus trabalhos) com navegadores que tinham o Java ativado e foram comprometidos.
Se você estiver irritado o suficiente, você fará o próximo passo, que é pressionar a empresa a parar de usar Java. "Não há mais motivo para os sites usarem applets Java", disse-me Chester Wisniewski, da Sophos, na RSA Conference nesta semana. Você pode pressionar a TI para começar a mudar para um produto diferente. Como clientes, você pode dizer ao fornecedor para criar uma alternativa que não seja Java ou, quando chegar a hora de renovar a assinatura ou contrato, você cancelará e passará para um produto diferente. Dinheiro fala mais alto.
Wisniewski disse que não tomou a decisão de recomendar desativar o Java de ânimo leve. Ele considerou as ramificações cuidadosamente e chegou à conclusão de que, no momento, era a coisa mais segura a se fazer.