?Vulnerabilidade criptográfica em Java
Pesquisador lança PoC para vulnerabilidade criptográfica do Java mais recente
Um código de prova de conceito (PoC) demonstrando uma vulnerabilidade de desvio de assinatura digital recém-divulgada em Java foi compartilhado online.
A falha de alta gravidade em questão, CVE-2022-21449 (pontuação CVSS: 7,5), afeta a seguinte versão do Java SE e Oracle GraalVM Enterprise Edition -
Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
O problema reside na implementação do Java Elliptic Curve Digital Signature Algorithm ( ECDSA ), um mecanismo criptográfico para assinar digitalmente mensagens e dados para verificar a autenticidade e a integridade do conteúdo.
Em poucas palavras, o erro criptográfico - apelidado de Psychic Signatures em Java - torna possível apresentar uma assinatura totalmente em branco, que ainda seria percebida como válida pela implementação vulnerável.
A exploração bem-sucedida da falha pode permitir que um invasor forje assinaturas e ignore as medidas de autenticação implementadas.
O PoC, publicado pelo pesquisador de segurança Khaled Nassar, envolve um cliente vulnerável e um servidor TLS malicioso, o primeiro dos quais aceita uma assinatura inválida do servidor, permitindo efetivamente que o handshake TLS continue desimpedido.
“É difícil exagerar a gravidade desse bug”, disse o pesquisador da ForgeRock, Neil Madden, que descobriu e relatou a falha em 11 de novembro de 2021 .
"Se você estiver usando assinaturas ECDSA para qualquer um desses mecanismos de segurança, um invasor poderá contorná-los trivial e completamente se o seu servidor estiver executando qualquer versão do Java 15, 16, 17 ou 18."
Desde então, o problema foi resolvido pela Oracle como parte de sua atualização de patch crítica (CPU) trimestral de abril de 2022 lançada em 19 de abril de 2022.
À luz do lançamento do PoC, recomenda-se que as organizações que usam Java 15, Java 16, Java 17 ou Java 18 em seus ambientes priorizem os patches para mitigar a exploração ativa.
Что делает видео по-настоящему запоминающимся? Наверное, та самая атмосфера, которая заставляет забыть о времени. Когда вы заходите на RUVIDEO, чтобы посмотреть онлайн «?Vulnerabilidade criptográfica em Java», вы рассчитываете на нечто большее, чем просто загрузку плеера. И мы это понимаем. Контент такого уровня заслуживает того, чтобы его смотрели в HD 1080, без дрожания картинки и бесконечного буферизации.
Честно говоря, Rutube сегодня — это кладезь уникальных находок, которые часто теряются в общем шуме. Мы же вытаскиваем на поверхность самое интересное. Будь то динамичный экшн, глубокий разбор темы от любимого автора или просто уютное видео для настроения — всё это доступно здесь бесплатно и без лишних формальностей. Никаких «заполните анкету, чтобы продолжить». Только вы, ваш экран и качественный поток.
Если вас зацепило это видео, не забудьте взглянуть на похожие материалы в блоке справа. Мы откалибровали наши алгоритмы так, чтобы они подбирали контент не просто «по тегам», а по настроению и смыслу. Ведь в конечном итоге, онлайн-кинотеатр — это не склад файлов, а место, где каждый вечер можно найти свою историю. Приятного вам отдыха на RUVIDEO!
Видео взято из открытых источников Rutube. Если вы правообладатель, обратитесь к первоисточнику.