A vulnerabilidade Zero-Day descoberta no software Java, da Oracle, e noticiada no final da semana passada, já foi adicionada aos pacotes de exploração usados por crackers para distribuir malwares. Os dois pacotes de exploits mais populares, o BlackHole Exploit Kit e o Cool Exploit Kit, já incorporaram o exploit Java Zero-Day.

O criador do Blackhole, que usa o apelido de “Pança”, anunciou ontem em vários fóruns na web que o Java Zero-Day foi um “presente de Ano Novo” para os usuários de seu kit de exploração.

A vulnerabilidade afeta as versões do Oracle Java 7 e pode ser explorada remotamente, sem autenticação.

Já que a falha representa alto risco para os usuários na utilização da Internet, a Oracle lançou ontem (13) a correção extraordinária Java SE 7 Update 10.

“A correção força os usuários a autorizar expressamente a execução de ‘applets’ que são assinadas ou auto-assinadas”, escreve Eric Maurice, profissional de segurança da Oracle. “Como resultado, usuários desavisados que visitem sites infectados serão notificados antes de um ‘applet’ potencialmente malicioso ser executado e poderão negar sua execução”.

A atualização de segurança também permite que os usuários facilmente desabilitem o Java em seus navegadores através do Painel de Controle.

A vulnerabilidade recebeu a pontuação máxima (10,00) no Common Vulnerability Scoring System (CVSS). A Oracle recomenda que o alerta de segurança http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html seja aplicado o mais rápido possível.

Leia o alerta de segurança publicado por Eric Maurice, no blog da Oracle
https://blogs.oracle.com/security/entry/security_alert_for_cve_2013

Acesse o novo patch de segurança do Java
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

fonte:
The Hacker News
CIO
Computer World