La semana pasada Oracle se veía obligado a publicar un parche de seguridad para Java 7 fuera de su ciclo habitual trimestral de publicación de parches para resolver un 0-day-exploit que afectaba a todos los sistemas operativos, aunque hasta donde se sabe sólo se estaba empleando activamente contra equipos Windows.
Esta semana una compañía de seguridad polaca afirma que dicho parche de seguridad tiene una nueva vulnerabilidad. No han hecho públicos los detalles de la vulnerabilidad, pero según ellos lleva a una ejecución de código arbitrario (es decir, a hacer lo que les dé la gana con tu máquina). La compañía está trabajando junto con Oracle para resolver esta vulnerabilidad. Oracle por lo de ahora no ha comentado sobre el tema.
Según Rapid7, otra compañía de seguridad, tan sólo el 35% de los usuarios de Java han aplicado parches de seguridad después de 90 días de haberse hechos públicos estos parches. Esto, junto con su presencia bastante extendida en equipos, son los motivos por los cuales actualmente Java es el vector de ataque preferido por los hackers.
El artículo original también tiene un consejo de Tod Beardsley, uno de los participantes en el proyecto Metasploit y empleado de la compañía de seguridad Rapid7:
It's important to remember that this is certainly not the last 0-day we'll see on Java. It's still advisable to keep Java browser plugins disabled except for sites that you know you need it on. Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer all allow for this kind of "whitelist" configuration. It's still a good idea to keep your vulnerability profile low for the next time.
Él tiene claro que Java va a seguir siendo explotado con ataques similares a éste. Por lo menos, él no recomienda des instalar Java, que es lo que recomiendan bastante otros especialistas de seguridad.