A la venta Zero-Day Exploit para Java 7 Update 9; precio de venta >$100,000
Abraham
Se vende: Zero-Day Exploit para Java 7 Update 9, la última actualización de java disponible de Oracle. Su efectividad está garantizada con Firefox e Internet Explorer, incluso corriendo sobre Windows 7. La vulnerabilidad está relacionada con el uso de las librerías MIDI de reproducción de sonido de Java, y la ejecución del código malicioso es muy fiable y se producirá sin necesidad de ninguna interacción por parte del usuario; basta con que visite la URL infectada en su navegador web.
Precio: Sólo se venderá este Exploit una única vez, por lo que el comprador gozará de uso exclusivo de él para tomar control de cuantos PCs quiera. El vendedor está abierto a todo tipo de ofertas, pero estas deberán de tener al menos 5 dígitos (>$100,000). Interesados en esta oferta pasarse por el submundo cibernético, donde podrán además encontrar muchos otros exploits a la venta, sobre todo para Java, pero también para Flash, Adobe y muchas otras aplicaciones populares.
Nota del editor: dado la boyante situación del mercado de los Zero-Day Exploit para Java y el hecho de que estos hackers, nos guste no, son cada vez una parte más importante del ecosistema Java, al menos en lo relativo al dinero que mueven y al número de gente a la que "llegan", sólo parece justo que ellos también tengan una voz en este portal. Así que, del mismo modo que cuando IBM saca una nueva versión de su servidor de aplicaciones o Oracle saca una nueva versión de Java lo anunciamos aquí, que menos que anunciar los exploits más relevantes de esta gente, que se gana el pan a base de tomar control de nuestros equipos.
Para aquellos lectores no interesados en comprar este exploit, pero sí interesados en no perder el control de su equipo por culpa de este Exploit, les recomendamos fuertemente que eviten que su navegador web ejecute Applet Java. Aquí tienen unas buenas instrucciones para ello.
Reader Comments (11)
Ya sabéis, si no puedes vencerlos únete ellos. Y como parece que Oracle no está por la labor de hacer lo que tiene que hacer para resolver esta situación, habrá que aceptar a los hacker como una parte más del ecosistema.
y la url para comprar??
yo quería un par!
con lo que me sobra la plata!!
Normal.
SUN sabe (sabia) escribir software. Pueden equivocarse como todo dios, pero Oracle no tiene ni folla de software. Las penas que he sufrido con bugs locos de Oracle son cosa mala.
A Oracle le pasa como a HP. Creen que son lo mas mas de lo mejor de mas arriba. No tienen ni puta idea de manejar lo que han comprado pero tratan de imponer sus formas-metodos a entidades que no tienen nada que ver.
Trabajo en HP y las cosas que veo desde que una empresa de Hard compro una de soft-servicios es demencial. A oracle le pasa lo mismo. Su soft es de bajísima calidad pero estan convencidos de que pueden hacer un soft abierto al mismo nivel que SUN, algo que si consiguen sera un milagro por que los que dominaban el tema se han largado.
Patético mundo en el que vivimos, donde un ignorante aplasta a un sabio simplemente porque el dinero lo pone el.
Oracle esta hundiendo java por su ignorancia e incompetencia.
Saliendo al paso¿sabeis que para oracle un NULL es igual a cualquier cosa?
Quiza sea un problema de la definición de SQL, pero para cualquiera que trabaje con cualquier lenguaje un valor indefinido no es igual a un valor definido.
Y la excusa del sql no me parece valida cuando oracle se ha pasado siempre el estándar por donde le ha apetecido.
Estamos jodidos. java esta en manos de incompetentes con dinero. ¡Que putas las vamos a pasar!
Salut,
Paposo
@Paposo
Mira que pocas veces defiendo yo Oracle, pero en esta ocasión el problema no es que Sun hiciese bien las cosas y Oracle las haga mal. A Sun le hubiese pasado lo mismo. Cualquier pieza de software de tamaño considerable siempre va a tener fallos de seguridad. Es inevitable. Nadie ha conseguido escribir una base de datos, un navegador web, un sistema operativo, una máquina virtual… sin fallos de seguridad.
La solución es arreglarlos. Y arreglarlos en este caso sin avisar al usuario. Como hacen Chrome y Firefox. Como hace Windows con Windows Update. Si todos los usuarios están siempre a la última versión de Java, el incentivo para los hackers es mínimo para atacar a Java. Pero con Java sucede todo lo contrario. La gente no sabe lo que es, ni que lo tiene instalado, ni para qué le sirve, así que no se molestan en actualizarlo. Por tanto, las ventanas de vulnerabilidad de los problemas de seguridad son enormes. Y eso lo convierte en un atractivo muy sabroso para los hackers.
El problema con Java no va a desaparecer hasta que los JRE se actualicen automáticamente.
Por cierto, una reflexión,si el precio de una vulnerabilidad de este tipo está por encima de $100,000, y el que la compra obviamente la compra para ganar más dinero ¿cuántos equipos espera poder infectar el que la compra para recuperar la inversión?. Unos cuantos, teniendo en cuenta que lo que probablemente va a hacer con ellos es enviar Spam y ataques DDoS.
@Paposo
Cabreos aparte a causa de los bugs, me extraña que digas que "...porque los que dominaban el tema se han largado."
A menos que creas que algunos de los que siguen, como Mark Reinhold y Brian Goetz, por poner dos nombres muy conocidos, son unos ¿Inútiles?.
¿Puedes decir quiénes son esos "hombres extraordinarios" que se han marchado, y sin los cuales Java se está hundiendo (según tu curioso criterio)?.
El problema no es java, el problema es "java en los browser's".
El problema tampoco es "java en los browser's".
El problema son los browser's, y da igual, si el vector de ataque es un applet, un activex, un flash, una imagen o un streaming de video.
Ahora bien sabiendo que los plugin tienen los días contados..... bueno, sigo insistiendo en que la idea de que esto de "java es inseguro", es más dañino para nosotros, que el mismo Exploit.
Un saludo.
¿Puedes explicar eso de que para Oracle un null es igual a cualquier cosa? Por que mira que tras años trabajando con Oracle, siempre me ha pasado lo contrario: que un null comparado con lo que sea siempre da false.
Vulnerabilidades van a existir siempre... (no sólo en Java o C++ o Python o el lenguaje que prefieran), de hecho el costo de hacer software 100% perfecto sería demasiado para que valga la pena.... así que hay que convivir con ello
@paposo pastelero a tus pasteles, los de SUN sabían hacer buen software (aunque igual tuvieron sus errores), pero no sabían de finanzas. En el caso de Oracle, puede que no sean los mejores programando, pero que manejan mejor sus negocios no se puede dudar. Respecto al tema de comparaciones con NULL no sirve el operador de igualdad (debes usar IS NULL o para la negación IS NOT NULL), echale un vistazo a esta URL: http://thinkoracle.blogspot.com/2005/06/nulls-in-oracle.html
"... los de SUN sabían hacer buen software..."
No creo que Swing, tal y como está en el JDK a estas alturas, sea una demostración de "saber hacer buen software". Para conseguir que haga algo útil, a la medida de los tiempos que corren, es inevitable crear interminables y complejas extensiones de sus componentes, que bien podrían haberse incluido en el JDK desde hace muchos años.
Igual convendría recordar el clamoroso fracaso de JavaFX 1.x como otra demostración evidente de lo que no es "buen software".
A finales del año pasado, los build del JDK arrojaban, todavía, algo más de 10.000 (sí, 10 mil) warnings de compilación. La mayoría con años y años de antigüedad. Tampoco es una demostración de "buen software".
El Lenguaje Java necesita menos mitos y leyendas, y más y mejores especificaciones e implementaciones.
Con respecto al tema Open Source, igual viene bien recordar ahora que desde JavaSE 1.7 el OpenJDK es la Implementación de Referencia del Lenguaje Java.
+1 al aporte de Abraham, Java ganaría en seguridad si se actualizará automáticamente (aunque veríamos si eso podría generar problemas de intrumisión del software y exceso control por parte de Oracle).
Oracle no pierde mucho, esto es, deja la responsabilidad de la actualización al usuario. Pero si hay un problema de seguridad, quizá debería tomar parte proactiva (porque me parece que responsabilizar al usuario no es buena opción a nivel de publicidad).
En fin son más aportes.