Três vulnerabilidades foram encontradas no PHP 7

Três vulnerabilidades críticas de Zero-Day foram descobertas no PHP 7, o que poderia permitir que um invasor assumisse o controle total sobre 80% dos sites que são executados na versão mais recente da popular linguagem de programação da web.

As vulnerabilidades críticas encontrados no PHP 7 são as mesmas já encontradas no PHP 5, permitindo aos hackers comprometer sites como Drupal, Joomla, Magento, vBulletin e PornHub e outros servidores da web.

Analistas de segurança da empresa Check Point passaram vários meses examinando o PHP 7 e descobriram “três vulnerabilidades frescas e previamente desconhecidas”. Registrados como a seguinte lista:

As vulnerabilidades CVE-2016-7479 e CVE-2016-7480, se exploradas, permitiriam que um hacker assumisse o controle total sobre o servidor de destino, permitindo que o invasor fizesse qualquer coisa, desde o espalhar um Malware para roubar dados de clientes ou desfigurá-lo.

A vulnerabilidade CVE-2016-7478 pode ser explorada para gerar um ataque de negação de serviço (DDoS), permitindo que um hacker retirasse o site do ar, os analistas explicam em seu relatório [PDF].

De acordo com Yannay Livneh, da equipe de analistas da Check Point, nenhuma das vulnerabilidades acima, aparentemente, foram exploradas por hackers.

Os pesquisadores da Check Point relataram as três vulnerabilidades de Zero-Day para a equipe de segurança do PHP nos dias 6 de Agosto e 15 de Setembro.

Patches para duas das três falhas foram liberadas pela equipe de segurança do PHP em 13 de Outubro e 1 de Dezembro, mas uma permanece sem correção.

Além dos patches, a Check Point também lançou assinaturas IPS para as três vulnerabilidades nos dias 18 e 31 de outubro para proteger os usuários contra qualquer ataque que explore essas vulnerabilidades.

A fim de garantir a segurança do servidor web, os usuários são recomendados a atualizar seus servidores para a versão mais recente do PHP.