Un artículo del blog de seguridad KrebsonSecurity denuncia que hay un ejecutable que aprovecha una nueva falla de Java, y que fue puesto a la venta en algunos foros subterráneos de la web. El ejecutable habría sido vendido a dos personas y el abultado precio también incluye la entrega del código fuente, de modo que el ataque pueda ser empaquetado de diferentes maneras.
El aviso de venta de este ejecutable aparece apenas un día después de que Oracle lanzara un parche de emergencia para reparar una vulnerabilidad anterior (llamada CVE-2013-0422) que estaba siendo explotada ampliamente, lo que motivó varias recomendaciones a desinstalar Java.
Brian Krebs señala que el ataque a la venta por USD$5.000 apunta a otra vulnerabilidad diferente de día cero que todavía no está parchada.
Al mismo tiempo, la empresa de seguridad TrendMicro advirtió que el parche de Oracle no sería muy efectivo para bloquear algunos ataques.
“En base a nuestro análisis, hemos confirmado que la reparación para CVE-2013-0422 es incompleta”, señaló Pawan Kinger, investigador de Trend Micro. Según dice, la vulnerabilidad proviene de fallas en dos partes del código base de Java, y el parche sólo reparó una de las dos, dejando un agujero que todavía se puede explotar.
“El mensaje es claro: Java sigue siendo un gran riesgo”, dice Kinger.
De la misma manera, la firma Immunity confirma que Java sólo solucionó uno de los dos errores que permitían el exploit.
En Estados Unidos, el Departamento de Seguridad Nacional recomendó también desinstalar Java debido a estos problemas, lo mismo que el Instituto de Ingeniería en Software de Carnegie Mellon.
Links:
– $5.000 will buy you access to another, new critical Java vulnerability (ArsTechnica)
– New Java Exploit Fetches $5.000 per buyer (KrebsonSecurity)
– How do I disable Java in my web browser? (Java)
