Java 7 Update 10 0-Day Vulnerability Exploit Demo (CVE-2013-0422)

Tags: , , , , ,

Todo um estardalhaço foi feito graças a descoberta de sérias vulnerabilidades contra o JAVA nessa semana. Também teve o problema quanto ao Ruby, mas isso era de se esperar e vale um outro post.

Muita gente correu para remover o JAVA de seus computadores, mas esquecendo que boa parte das soluções de internet banking em nosso país são baseados nele.

Well, o vídeo abaixo demonstra uma das última, se não for a última vulnerabilidade JAVA sendo explorada:

Já estes links apontam para o download do exploit que explora estas vulnerabilidades:
Exploits:
http://pastebin.com/raw.php?i=cUG2ayjh
http://www.exploit-db.com/exploits/24045/

Vale lembrar que não há, até o momento, correção para este problema.

Obrigado ao leitor Nathan Scapini pela dica 🙂

Trabalho há 15 anos com servidores aplicacionais JAVA, e por causa disso, muita gente veio me perguntar se precisavam correr quanto a atualização do JAVA em seus servidores.

Pois bem, vejam o que a Oracle diz sobre esta vulnerabilidade : – http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html :

This Security Alert addresses security issues CVE-2013-0422 (US-CERT Alert TA13-010A – Oracle Java 7 Security Manager Bypass Vulnerability) and another vulnerability affecting Java running in web browsers. These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications. They also do not affect Oracle server-based software.

Em resumo, esta vulnerabilidade só afeta browser e usuários finais que utilizam JAVA.

A atualização do JAVA nos servidores acarreta na pré-validação e compilação do código para uma nova versão. Digo isso porque a maioria dos programas JAVA que rodam por aí foram compilados no JAVA 1.5 e 1.6. São poucos os casos de sistemas e ambientes que já estão rodando no JAVA 1.7.

VEJA TAMBÉM

Android Security Cookbook Acho que não preciso falar muito sobre qual é o objetivo deste livro, correto ? Mas direi assim mesmo. O livro é focado para aqueles que desejam aprender mais sobre segurança para o S.O> mobile...
O fim do JAVA ? Esta semana,  a Oracle entrou com um processo contra a Google referente a violação de patentes e  direitos de propriedade intelectual relacionadas ao Java, convenhamos que a Google é velha conhecida d...
H2HC – excelentes palestras nacionais e internacionais. Falta menos de um mês para um dos eventos de segurança mais aguardados do ano, é o H2HC, evento hacker que é realizado todo ano em SP. Organizado pelo Rodrigo Rubira e pelo Balestra, o H2Hc deste ano ...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

12 comentários em “Java 7 Update 10 0-Day Vulnerability Exploit Demo (CVE-2013-0422)

  1. Destynnos

    Gustavo, existe alguma ferramenta de scan por exemplo que eu consiga varrer minha rede e descobrir a versão do java de meus servidores? Pq ter acessar de máquina a máquina é fo@#$!!

    Vlw

  2. João Paulo

    Destynnos
    Eu uso o OpenAudIT, ele audita todos os Softwares Instalado nas maquinas. Eu uso tanto em ambiente Windows como Linux. Tem também o OCS Inventory.

    Lembrando que precisa de um servidor para armazenar as informações.

  3. Lucas

    Eu recebi já possuia a última versão do Java e hoje 14/01 recebi um patch deles, só me liguei que pode ser uma correção desta vulnerabilidade quando vi este post no blog.

  4. Marcelo theodoro

    Saiu a correção mas ouvi algumas pessoas falando por aí que continua vulnerável a alguns tipos de ataques…

DEIXAR UM COMENTÁRIO

MENU