Oracle "ya había parcheado" el último 0 day exploit
Abraham
Según la compañía Security Explorations, responsables de haber descubierto buena parte de los últimos agujeros de seguridad en Java, al final de agosto la compañía había informado a Oracle del problema que está detrás del último 0 day exploit para Java 7 Update 10 (un problema con el API de Reflection a la hora de chequear los permisos del código que invoca cierta funcionalidad).
En aquel momento Oracle publicó un parche de seguridad que supuestamente resolvía el problema. Sin embargo, este parche no cerraba completamente el agujero de seguridad, lo que ha permitido que aparezca otro nuevo 0 day exploit basado en esta vulnerabilidad. Según Security Explorations, esta no es la primera vez que Oracle mete la pata al parchear una vulnerabilidad.
En estos momentos sigue sin haber ningún parche para el último 0 day exploit, que ya ha sido incorporado en los dos Exploit Kits más comúnmente empleados por los hackers: BlackHole Exploit Kit (BHEK) (que en el mercado negro tiene un precio de $1500 al año) y el Cool Exploit Kit (CEK) (que tiene un precio de $10,000 al mes; sí, $10,000 al mes, no al año).
El 0 day exploit ya se está empleando en Ransomware (TROJ_REVETON.RG y TROJ_REVETON.RJ). Éste tipo de malware bloquea el acceso a todo tipo de algún modo. Por ejemplo, en cripta tu disco duro. Y si no pagas (en este caso están pidiendo entre 200 y $300) pierdes los datos. En ocasiones, el mensaje que muestra los usuarios afirma ser de la policía y que el usuario debe pagar alguna multa por algún motivo (como haber descargado contenido de redes de BitTorrent).
Actualización de la noticia:
Más información sobre este tema:
- El departamento de seguridad interior estadounidense recomienda que los usuarios dejen de usar Java (no queda claro si de modo temporal o hasta que haya un parche)
- Apple ha desactivado el plugin Java en MAc OS X a través de una actualización del sistema operativo
Reader Comments (7)
Hay algo que no entiendo del todo.
Ese post menciona una actualización de octubre, que debe corresponder a la 1.7.9
Sin embargo no se menciona para nada que ha habido otra actualización en noviembre, la 1.7.10
La actualización de noviembre es vulnerable a este agujero de seguridad; la actualización que corrigió el agujero de seguridad de agosto creo que fue la 1.7.7:
http://www.javahispano.org/portada/2012/8/31/disponible-java-se-7u7-con-parche-para-el-0-day-exploit.html
@Abraham
Esto no es lo que dice el Departamento de Seguridad de USA:
"El departamento de seguridad interior estadounidense recomienda que los usuarios dejen de usar Java".
Lo que dice es esto:
"Disable Java in web browsers".
http://www.us-cert.gov/cas/techalerts/TA13-010A.html
Nuevamente se confunde Java como lenguaje, que también se usa en servidores, y aplicaciones de escritorio, con un plugin de páginas web,
Con respecto a qué versiones están afectadas, en el enlace que has puesto no se menciona para nada la versión 1.7.10, sino que solamente se hace referencia a los parches de octubre. Es lógico que surjan dudas, cuando ha habido una nueva versión lanzada en noviembre.
Donde sí se menciona con claridad que también la versión 1.7.10 está afectada, además de en la alerta del CERT, es en éste:
http://thenextweb.com/insider/2013/01/10/new-java-vulnerability-is-being-exploited-in-the-wild-disabling-java-is-currently-your-only-option/
donde se afirma: "Currently, disabling the plugin is the only way to protect your computer."
En resumen, lo que recomiendan no es "quitar Java".
http://blog.avast.com/2013/01/11/another-java-exploit/
@choces, como ya he dicho en múltiples ocasiones, muchos expertos si recomiendan quitar Java, porque realmente poca gente lo necesita. La fuente que yo cito directamente también recomienda des instalar Java, ("sus usuarios deberían de dejar de utilizar este 'software'.") Aunque el enlace que tú pones es más fiable.
Por cierto, sabes que, al menos hasta hasta este verano, si deshabilitas el plugin Java, y después instalas una actualización de Java se vuelve a habilitar?
El mejor consejo para tu madre es que desistale Java. Si no va a terminar metiendo la pata.
Sé que una actualización de Java no habilita automáticamente el plugin en Chrome, si está deshabilitado. Lo acabo de hacer hace unos minutos.
En el momento en que un experto me recomiende desinstalar Java del Sistema, porque haya fallos de seguridad en el plugin del navegador... automáticamente deja de ser un "experto" para mi, en lo que a Java se refiere.