Buscar
Social
Ofertas laborales ES
« La semana pasada en javaHispano | Main | La Universidad Politécnica de Madrid  lanza las bases de la competición de trading automático ROBOTRADER 2013 »
domingo
ene132013

Oracle "ya había parcheado" el último 0 day exploit

Según la compañía  Security Explorations, responsables de haber descubierto buena parte de los últimos agujeros de seguridad en Java, al final de agosto la compañía había informado a Oracle del problema que está detrás del último 0 day exploit para Java 7 Update 10 (un problema con el API de Reflection a la hora de chequear los permisos del código que invoca cierta funcionalidad).

En aquel momento Oracle publicó un parche de seguridad que supuestamente resolvía el problema. Sin embargo, este parche no cerraba completamente el agujero de seguridad, lo que ha permitido que aparezca otro nuevo  0 day exploit basado en esta vulnerabilidad. Según Security Explorations, esta no es la primera vez que Oracle mete la pata al parchear una vulnerabilidad.

En estos momentos sigue sin haber ningún parche para el último 0 day exploit, que ya ha sido incorporado en los dos Exploit Kits más comúnmente empleados por los hackers: BlackHole Exploit Kit (BHEK) (que en el mercado negro tiene un precio de $1500 al año) y el Cool Exploit Kit (CEK) (que tiene un precio de $10,000 al mes; sí, $10,000 al mes, no al año).

El 0 day exploit ya se está empleando en Ransomware (TROJ_REVETON.RG y TROJ_REVETON.RJ). Éste tipo de malware bloquea el acceso a todo tipo de algún modo. Por ejemplo, en cripta tu disco duro. Y si no pagas (en este caso están pidiendo entre 200 y $300) pierdes los datos. En ocasiones, el mensaje que muestra los usuarios afirma ser de la policía y que el usuario debe pagar alguna multa por algún motivo (como haber descargado contenido de redes de BitTorrent).

 

Actualización de la noticia:

Más información sobre este tema:

PrintView Printer Friendly Version

EmailEmail Article to Friend

Reader Comments (7)

Hay algo que no entiendo del todo.
Ese post menciona una actualización de octubre, que debe corresponder a la 1.7.9
Sin embargo no se menciona para nada que ha habido otra actualización en noviembre, la 1.7.10

enero 13, 2013 | Registered Commenterchoces

La actualización de noviembre es vulnerable a este agujero de seguridad; la actualización que corrigió el agujero de seguridad de agosto creo que fue la 1.7.7:

http://www.javahispano.org/portada/2012/8/31/disponible-java-se-7u7-con-parche-para-el-0-day-exploit.html

enero 13, 2013 | Registered CommenterAbraham

@Abraham

Esto no es lo que dice el Departamento de Seguridad de USA:
"El departamento de seguridad interior estadounidense recomienda que los usuarios dejen de usar Java".

Lo que dice es esto:

"Disable Java in web browsers".

http://www.us-cert.gov/cas/techalerts/TA13-010A.html

Nuevamente se confunde Java como lenguaje, que también se usa en servidores, y aplicaciones de escritorio, con un plugin de páginas web,

enero 13, 2013 | Registered Commenterchoces

Con respecto a qué versiones están afectadas, en el enlace que has puesto no se menciona para nada la versión 1.7.10, sino que solamente se hace referencia a los parches de octubre. Es lógico que surjan dudas, cuando ha habido una nueva versión lanzada en noviembre.

Donde sí se menciona con claridad que también la versión 1.7.10 está afectada, además de en la alerta del CERT, es en éste:
http://thenextweb.com/insider/2013/01/10/new-java-vulnerability-is-being-exploited-in-the-wild-disabling-java-is-currently-your-only-option/

donde se afirma: "Currently, disabling the plugin is the only way to protect your computer."

En resumen, lo que recomiendan no es "quitar Java".

enero 13, 2013 | Registered Commenterchoces

http://blog.avast.com/2013/01/11/another-java-exploit/

enero 14, 2013 | Unregistered CommenterJuli

@choces, como ya he dicho en múltiples ocasiones, muchos expertos si recomiendan quitar Java, porque realmente poca gente lo necesita. La fuente que yo cito directamente también recomienda des instalar Java, ("sus usuarios deberían de dejar de utilizar este 'software'.") Aunque el enlace que tú pones es más fiable.

Por cierto, sabes que, al menos hasta hasta este verano, si deshabilitas el plugin Java, y después instalas una actualización de Java se vuelve a habilitar?

El mejor consejo para tu madre es que desistale Java. Si no va a terminar metiendo la pata.

enero 14, 2013 | Registered CommenterAbraham

Sé que una actualización de Java no habilita automáticamente el plugin en Chrome, si está deshabilitado. Lo acabo de hacer hace unos minutos.

En el momento en que un experto me recomiende desinstalar Java del Sistema, porque haya fallos de seguridad en el plugin del navegador... automáticamente deja de ser un "experto" para mi, en lo que a Java se refiere.

enero 14, 2013 | Registered Commenterchoces

PostPost a New Comment

Enter your information below to add a new comment.

My response is on my own website »
Author Email (optional):
Author URL (optional):
Post:
 
Some HTML allowed: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>