This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Sin embargo, otro Java día cero afirma - pero esta vez te ríes estás, ¿no?

by Paul Ducklin on January 17, 2013 | Leave a comment

Filed Under: Featured, Oracle, Vulnerability

Investigador de Delitos Cibernéticos incontenible y el reportero Brian Krebs ha escrito sobre un nuevo Java zero-day exploit.

Éste, al parecer, apunta a una vulnerabilidad explotable incluso en Oracle versión más reciente , Versión 7 Update 11, también conocida como 7u11.

Los detalles del exploit son vagos, porque el hampa está jugando esta muy cerca de su pecho.

De acuerdo con el Krebmeister, el corredor que había la explotación a la venta planeaba venderlo a sólo dos compradores diferentes, en lugar de arrendarlo o ofrecerlo ampliamente:

La idea de la distribución límite es obvia: los menores de entrega exploit-sitios que realmente sirven a la hazaña, más tiempo se tardará en llegar a ser ampliamente conocido, y cuanto más tiempo pueda durar antes de ser adquirido, diseccionado y parcheado.

La desventaja para el criminal que es la intermediación de la venta, por supuesto, es que está limitando su mercado, aunque por confiar dos compañeros de ladrones que se ejecuta el doble de riesgo de que su preciada posesión que se venden en todas formas.

Parece como si un segundo comprador salió de la nada, porque Krebs informa que las ventas echada posteriormente desapareció del foro underground en el que fue publicado originalmente.

El valor que el vendedor está puesta en este exploit suena un poco baja para mi: que está esperando ingresos totales de sólo $ 10.000 para un confiable, trabajadora y actual Java de día cero. (No quiero sonar como si yo creo cibercriminalidad es simplista y cotidiano. Simplemente me hubiera pensado que podía haber pedido y nos dieron más.)

Hay muchas posibles razones para que el valor no menos, que estoy mal informado acerca de los precios competitivos en el metro, y dos muy interesantes primavera a la mente:

  • No hay un nuevo exploit. ¿O no es una pregunta muy buena. Es sólo una cuerda.
  • La cobertura informativa difundida recomendando que apagar Java está empujando hacia abajo el precio.

Esperemos que la razón es esta última.

En su excelente nuevo documento técnico sobre el paquete de exploits Blackhole , SophosLabs investigador Gabor Szappanos publicó un informe de éxito exploit de un servidor Blackhole en vivo:

Szappi preguntaba si había algún factor en el juego sí mismo exploit que Java favorecida como un vector.

Tal vez, por ejemplo, en un PC vulnerable a ataques múltiples, el Java podría desencadenar más rápido, por lo que se sobre-representados en los informes?

Tal vez un sesgo en el código exploit pack significaba que otras hazañas fueron juzgados con menos frecuencia, lo que da una mordida Java injustamente grande de la cereza?

Pero ese no fue el caso. Para citar Szappi sí mismo :

Después de evaluar el código resultó que [no hubo sesgo]. El paquete de exploits Blackhole es justo con las funciones exploit individuales y no favorece a uno solo de ellos ... Así que me quedé con la única explicación que queda: soluciones de seguridad de Java no se están instalando. Los usuarios no tienen en cuenta Java una amenaza directa, y no se apresure en la actualización de sus sistemas.

Y ese es el desafío número uno de seguridad con respecto a las amenazas de Internet: hacer que los usuarios tomen conciencia de que Java es ahora el punto más débil. Y es muy bajo ataque.

El lado positivo es que él escribió esas palabras de nuevo en diciembre de 2012, antes del último estallido de la " vuelta de Java consejo.

Esperemos que los consejos vale la pena.

Por todos los medios instalar Java. (Yo lo tengo para Android investigación y desarrollo, por ejemplo.) Pero mantenerlo al día, como cualquier otro paquete de software.

Por todos los medios encender Java en su navegador, si esa es su elección informada. (Lo tengo encerrado en mis navegadores ya que simplemente no utilizan los sitios que lo requieran.) Pero no lo permitirá a menos que realmente lo necesitan.

No me estoy metiendo con Oracle o Java aquí.

Esta recomendación es válida para cualquier plugin o software navegador que usted no necesita.

Deshacerse de funcionalidad que no está utilizando tiene el nombre moderno de "reducir su superficie de ataque", y realmente funciona.

He citado el Sr. Miagi, de la película The Karate Kid , antes, y no tengo ninguna duda lo voy a citar de nuevo: ". Mejor manera de evitar golpe - no estar ahí"

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <pre> <q cite=""> <strike> <strong>

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog