viernes
ene112013
Nuevo 0 day exploit para Java 7 Update 10
AbrahamNuevamente nos encontramos en la situación de que la última versión de Java, Java 7 Update 10, (y las anteriores) es vulnerable a ataques que permiten ejecutar código arbitrario con que el usuario simplemente visite una url en su navegador: tenemos otro 0 day exploit para Java. El ataque emplea un applet y no hay ningun parche disponible. Los expertos recomiendan desintalar Java de tu equipo.
Reader Comments (20)
Vamos a ver, no exageremos, leyendo la fuente se dice lo siguiente:
"disabling the plugin is the only way to protect your computer."
No es lo mismo "deshabilitar el plugin" (del navegador se entiende) que "desinstalar Java del equipo" como dice la noticia.
Y esto es lo que se dice sobre desinstalar Java:
"We recommend that regardless of what browser and operating system you’re using, you should uninstall Java if you don’t need it. If you do need it, use a separate browser when Java is required, and make sure to disable Java in your default browser."
Por favor, compañero, si te parece oportuno, edita la noticia para que se ajuste más a la recomendación.
Solo para poner las cosas en perspectiva.
En lo que va del año (desde el 03/01 hasta la fecha) el ICIC (Programa Nacional de Infraestructura Critica de Información y Ciberseguridad de Argentina) ha publicado un total de 10 boletines de seguridad (8 de alta criticidad y 2 de nivel crítico)
Agrupados por sistemas/plataformas quedan de la siguiente forma.
Java, 1
Firefox, 20
Thunderbird, 20
SeaMonkey, 20
Adobe Acrobat, múltiples
Adobe Reader, múltiples
Adobe Flash Player, 1
Adobe AIR, 1
Microsoft, 7
Ruby on Rails, 1
Asterisk, 2
VLC Media Player, 1
Internet Explorer, 1
MoinMoin, múltiples
Un saludo.
F, del Consejo de "si no lo tienes claro que lo necesitas desinstalalo" es algo bastante extendido entre la comunidad de seguridad, y yo lo apoyo dada la situación. La mayor parte de los usuarios normales no lo necesitan y sólo les trae problema:
http://krebsonsecurity.com/2010/06/dont-need-java-junk-it/
http://thenextweb.com/apps/2012/08/28/security-companies-you-disable-java-just-uninstall/
http://www.grc.com/sn/sn-271.htm
Eduardo ¿qué es el número que va al lado de la lista ?
Cantidad de vulnerabilidades.
PD:
Echo en falta el antiguo editor de comentarios, en este no es posible subir un <table></table>
:)
@efrigerio
Y todavía no se actualizado Chrome, que ya veremos cuántas más nos trae de regalo ;D
De "los expertos recomiendan desinstalarlo, si no se necesita", a "los expertos recomiendan desinstalarlo", hay un "si no se necesita" de diferencia, que es más significativo de lo que parece.
Por otra parte, hay otra diferencia más significativa, en la que muchos "expertos" no parecen caer en la cuenta: deshabilitar en el navegador de Internet, y desinstalar en el Sistema.
Vuelvo a plantear la misma cuestión de siempre: ¿ Un usuario de Vuze debe desinstalar Java, porque los applets en el navegador puedan ser vulnerables?
Que quieres que te diga, Eduardo. O bien por la particularidad de Argentina, o bien por el modo en el que el ICIC hace el estudio, esos datos no reflejan la realidad en el resto del mundo. Prueba de ello es que Thunderbird y SeaMonkey tienen el número más alto, cuando son productos que usa poca gente y por lo tanto que causan pocas infecciones comparativamente a otros como los de Adobe, Flash o Java.
Tanto ThunderBird como SeaMonkey usan el motor de renderizado de Firefox. Es lógico que tengan su misma cantidad de vulnerabilidades.
Firefox sí es muy usado en el mundo. Creo que de eso caben pocas dudas, aunque esté en declive en relación con años atrás.
Signifique lo que signifique ese número,una cosa tengo clara: no tiene que ver absolutamente nada con el número de infecciones a través de ese vector de ataque, o al menos con el número de infracciones a nivel mundial. A lo mejor dentro de la región/red monitorizar ese organismo (o en Argentina) es así debido a sus particularidades.
La idea era poner la noticia en contexto y no quedarnos con esto de que "java es inseguro".
En esa línea.....
La vulnerabilidad en VLC Media Player es exactamente del mismo tipo de la de Java (Ejecución de código arbitrario) y no he escuchado a nadie decir que los usuarios deban desinstalarlo.
Nota:
El ICIC no analiza ni filtra nada, simplemente se limita a publicar los boletines de seguridad que reciben. :(
Nota 2:
Firefox,Thunderbird y SeaMonkey corresponden a la misma nota de seguridad.
Un saludo.
Nota 3:
Abraham.
El objetivo de las alertas de seguridad del ICIC es netamente preventivo, no el de contar los muertos que deja una epidemia.
:D
Supongo que es bastante más probable que alguien se infecte usando Firefox, o cualquiera de sus "extensiones" en forma de ThunderBird o SeaMonkey, que usando applets de Java, teniendo en cuenta el reducidísimo número de webs que los usan.
No creo que haya dudas de que el principal vector de ataque son los navegadores, que son quienes más vulnerabilidades presentan, de manera sistemática.
@efrigerio
Por no contar los que deje un hacha en manos "inocentes" (como las tuyas) :D
Y por cierto, Eduardo, respecto al tema de que hechas de menos el editor de textos de la otra versión del portal, las cosas que tú hacías con aquel editor de textos era un agujero de seguridad como un túnel de autopista ;) que, entre otras cosas, podrían haber permitido que alguien empotrarse en esta página un Applet malicioso explotando la vulnerabilidad descrita en esta noticia para infectar el equipo de cualquiera que simplemente visualizase la noticia y tuviese el plugin Java activado en su equipo :O
Abraham, ¡hechas es sin hache en ese caso!
Díganme, ¿qué hago entonces para que mi equipo no se infecte?
1) Si soy un desarrollador de Java.
2) Si soy un usuario normal.
Por cierto Peyrona, parece que os están dando caña... ¿quién crees que puede estar detrás de estos "ataques"? ¿Gente antigua de Sun? ¿Gente de la competencia, como Android? ¿Gente de antivirus? ¿Hackers éticos?
Muchas gracias a todos,
@jcarmonaloeches
Lo mejor es que no lo enciendas en ningún caso ;D
Si eres un usuario normal, yo creo que lo mejor es desista la Java y punto. Es raro que un usuario normal lo necesite. Si el usuario normal lo necesita, o eres es un desarrollador Java, asegúrate de que ningún Applet (ni firmado ni sin firmar) se ejecuta en ninguno de tus navegadores web sin autorización previa. Así al menos tendrás oportunidad para pensar si tiene o no sentido que se ejecute el Applet en esa página y si te fías o no de ella.
Respecto a quién infecta, pues el crimen organizado. Por supuesto. Para ganar dinero. Y no es que le tengan manía a Java. Simplemente es que Java es una buena herramienta para infectar la gente. Si hubiese algo mejor lo usarían.
Al solo efecto de seguir poniendo la nota en el contexto adecuado.
Respecto a quién infecta, pues el crimen organizado. Por supuesto. Para ganar dinero.
Muchos países se dan cuenta del potencial perjudicial de los ataques cibernéticos contra la infraestructura esencial, como el agua, el gas y la energía y la dificultad que plantea defenderse de ellos. McAfee Labs espera ver que los países demuestren sus capacidades cibernéticas en 2012, para dar una señal.
Y no es que le tengan manía a Java. Simplemente es que Java es una buena herramienta para infectar la gente. Si hubiese algo mejor lo usarían
Lo están usando.
Un nuevo gusano para dispositivos móviles provocará compras compulsivas en 2013.
El Android/Marketpay, un troyano que compra aplicaciones sin permiso del usuario. El próximo año, los cibercriminales harán uso de esta aplicación y la añadirán a un gusano para dispositivos móviles por lo que los cibercriminales no necesitarán que las víctimas instalen el malware. Además, los teléfonos móviles con tecnología NFC (tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos) son un blanco fácil para los cibercriminales. Los atacantes crearán gusanos para terminales móviles con funciones NFC para robar dinero a través del método “impactar e infectar”, más utilizado en áreas con gran densidad de población como aeropuertos y centros comerciales.
@choces
Esto es una conversación cordial, argumentativa y entre pares.
Hacha en mano son las que tengo a veces en la oficina con los equipos de trabajo.
:DD
Debido a esta vulnerabilidad, en Mozilla recomiendan activar la característica "Click to play" que básicamente viene a ser que el applet no se carga hasta que el usuario quiere.
Java 7 Update 10 0-Day Vulnerability Exploit Demo (CVE-2013-0422)
http://youtu.be/jyLAUESuLwU?hd=1
Hola Jaime,
disculpa la tardanza en la respuesta, pero ando muy liado estos días.
Lo cierto compi, es que yo no creo mucho en las teorías conspiradoras-paranoides, a mi me parece que la realidad es suficientemente amplia, compleja y aleatoria como para que casi se cumpla aquellos de los monos escribiendo en máquinas de escribir...
un saludo.