Um artigo do blog de segurança KrebsonSecurity que existe um arquivo executável que se aproveita de uma nova falha do Java, e que foi colocado à venda em alguns fóruns clandestinos na web. O executável teria sido vendido para duas pessoas e o preço elevado também inclui o fornecimento do código fonte, de modo que os ataques podem ser embalados em formas diferentes.
O aviso de venda deste executável aparece apenas um dia depois de a Oracle lançar um patch de emergência para corrigir uma vulnerabilidade anterior (chamada CVE-2013-0422) que estava sendo explorada amplamente, o que levou as várias recomendações para desinstalar o Java.
Brian Krebs observa que o ataque à venda por US $ 5 mil aponta para outra vulnerabilidade que ainda não deve estar sanada. Ao mesmo tempo, a empresa de segurança TrendMicro avisou que o remendo da Oracle não seria muito eficaz para bloquear alguns ataques.
“Com base em nossa análise, confirmamos que o reparo para CVE-2013-0422 está incompleto”, disse Pawan Kinger, pesquisador da Trend Micro. Segundo Kinger, a vulnerabilidade de falha em duas partes do código-base do Java, e o patch reparou apenas um dos dois, deixando ainda um buraco que pode ser explorado.
“A mensagem é clara: Java ainda é um grande risco”, conclui Kinger.
Para se ter noção da gravidade, nos Estados Unidos, o Departamento de Segurança Nacional também recomendou a desinstalação do Java por causa desses problemas. Um situação mais que delicada para milhares de usuários que utilizam serviços baseados na plataforma.
