Vulnerabilidade CVE-2008-5353 (java applets) sendo utilizada para ataques

Uma notícia de dois dias atrás (5.1.2010) falando sobre applets exploitando a vulnerabilidade CVE-2008-5353 que achei interessante:

http://isc.sans.org/diary.html?storyid=7879

[quote=ISC]We’ve had a report (thanks Tom!) of a java applet exploiting CVE-2008-5353 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353) as part of a web drive-by attack. While PoC has been around for a long time for this, this is the first time I’ve heard of it being used in the wild for a general attack. If anyone else has seen this, we’d be interested to hear about it.

The applet is already being detected by some A/V packages according to VirusTotal: https://www.virustotal.com/analisis/d4f5bcc9acecb2f53a78313fc073563de9fc4f7045dd8123a23a08f926a3974d-1262270360

As we get more details on what it does, we’ll update this entry with it.

UPDATE: Minnie Mouse was kind enough to write and let us know that exploits for this vuln apparently are available and included in the LuckySploit, Liberty and Fragus kits. In at least one case the exploit was a recent addition[/quote]

O CVE-2008-5353 é um problema na classe java.util.Calendar (trata-se de deserialização de objetos de uma forma não segura) que foi corrigido pela Sun em Dezembro de 2008 (Java 6 update 11), mas como muitas pessoas não atualizam o Java, os trojans ainda fazem sucesso. E eu sei de fato que a versão atual do Java está com pelo menos uns 6 falhas da mesma gravidade que a Sun ainda não corrigiu. A sorte é que o pessoal escrevendo os trojan desconhece essas falhas.

Os trojans devem continuar sendo escritos na linguagem nativa, a função do Java é simplesmente baixar um executável na maquina do usuário e depois executar.

Acho que fica cada vez mais óbvio que mesmo com o sandbox de segurança os Applets (ou JavaFX) na verdade não são tão mais seguros do que um ActiveX.

Falando estritamente de applets aqui, o mundo dos servidores de aplicações/web é totalmente diferente.

[]s,
Sami

Sou leigo no assunto, por que disse que não são tão mais seguros do que um ActiveX?

Eu não me expressei com muita claridade, mesmo.

ActiveX e Flash têm uma reputação muito ruim em termos de segurança. São muito utilizados para espalhar virus e trojans.

E Java tem (ou pelo menos tinha) uma reputação muito boa em termos de segurança (novamente falando de Applets) por causa da arquitetura de segurança dele. O código roda num “sandbox”, só certas operações configuráveis são permitidas, os applets não conseguem acessar a rede, não conseguem acessar o disco do usuário, não conseguem executar programas. E há muitas pessoas que acham que falhas de segurança no Java são ou um mito, um boato, FUD, ou extremamente raros, mas na verdade cada segundo update do Java tem correções de segurança (Java6 update 9, 11, 13, 15, 17 etc), normalmente entre 5 e 10 itens graves.

Então, o que eu quis dizer era que na minha opinião a realidade é muito diferente da percepção geral quando se trata de segurança de Java no browser. O CVE-2008-5353 por exemplo permite que quando você entra numa página com um applet malicioso, ou uma página com um tag <applet injetado, a applet formate seu disco ou instala um vírus, desde que o usuário rodando o browser tem permissão para isso.

[]s,
Sami>

Puxa muito interessante isso, é bom mesmo quem desenvolve em cima de applets estar sempre antenado dessas notícias.

Valeu pelas explicações Sami !