Menos de 24 horas depois de a Oracle apresentar um boletim de atualização de segurança que endereçava duas vulnerabilidades críticas do tipo Zero-Day em Java, um perfil online começou a ofertar um bug a linguagem open source totalmente novo.
Curta, no Facebook, a Fan Page do IT Web
“Um administrador de um forum voltado ao cibercrime publicou na segunda-feira uma mensagem informando que vendia um novo Zero-Day Java a dois compradores sortudos. O custo: a partir de US$ 5 mil cada”, disse o repórter de segurança Brian Krebs, que foi o primeiro a reportar a oferta de venda da vulnerabilidade.
O vendedor ainda disse que o Zero-Day dele – nas últimas versões do Java (Java 7 e atualização 11) – ainda não era parte de nenhum kit de exploração”, disse Krebs. Mas a vulnerabilidade já estava nas mãos de, pelo menos, um invasor. “O código será vendido duas vezes (já foi vendido uma)”.
De acordo com o anúncio de vendas, a vulnerabilidade Zero-Day está pronta para ser usada e inclui suporte via mensagem pessoal (PM, da sigla em inglês) – presumivelmente via o sistema de chat do forum.
A velocidade reduzida com a qual a Oracle entrega os patches de segurança também gerou críticas de especialistas em segurança. Além do mais, alguns boletins do Java foram considerados como desleixados e não totalmente endereçados a falhas que haviam sido constantemente exploradas pelos invasores.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…