A Oracle anunciou que consertou 25 falhas da linguagem Java, inclusive uma que já era explorada em ataques. Foram liberados o Update 51 para o Java 8, o Update 85 para o Java 7 e o Update 101 para Java 6, sendo público apenas o primeiro. O suporte para as versões anteriores se esgotou já há alguns anos e só está disponível para clientes com contratos de extensão.
Segundo Eric Maurice, diretor de segurança de software da Oracle, entre os reparos feitos pela companhia está um específico para Mac e quatro para Java Secure Socket Extension (JSSE). Também foi atualizada uma gama de outros produtos, como o Oracle Database, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Communications Applications, Oracle Java SE, Oracle Sun Systems Products Suite, Oracle Linux and Virtualization e Oracle MySQL. Ao todo, foram 193 vulnerabilidades reparadas pelos patches de segurança, sendo 44% decorrentes de componentes externos.
Entre as 25 falhas que foram corrigidas na plataforma, 23 delas podem ser exploradas de maneira remota, sem autenticação. 16 delas afetaram somente a implementação para clientes e cinco atingiram a implementação de clientes e servidores. O update também reparou a falha CVE-2015-2590, que possuía status de dia zero, o que significa que era explorada por agressores enquanto não contava com uma solução.
A descoberta foi feita por pesquisadores da Trend Micro em ataques às forças armadas de um país da OTAN não identificado e aos Estados Unidos. As agressões foram identificadas como do grupo de ciberespionagem Pawn Storm, ou APT28, que, supostamente, tem ligação com o serviço secreto da Rússia e é ativo desde 2007.
Nenhum comentário:
Postar um comentário