Esteu aquí

Nou zero-day de Java

Fa més o menys un mes i mig Brian Krebs escrivia en el seu blog, que corria per l'underground la notícia que s'estava posant a la venda un exploit de Java per un xifra de 5 dígits (més o menys 100.000$) i que segons el venedor afectava a la class "MidiDevice.Info" que controla la entrada/sortida d'audio.

Abans d'ahir Kafeine explicava en la seva pàgina web que efectivament aquest exploit existeix, que afecta (en principi) a la versió 7.10 de Java. Segons diu té detectats centeners de milers de hits diaris amb l'execució d'aquest exploit i que per tant es tracta d'un atac d'una extremada violència.

A partir d'aquí, han començat a sortir múltiples notícies i finalment, tant Metasploit, com el National Vulnerability Database han certificat la seva existència i se li ha assignat el codi CVE-2013-0422.

Val a dir que la nota (score) que si li ha donat a aquesta vulnerabilitat és la més alta possible segons les mètriques CVSS i que per tant indica tant l'extrema facilitat de la seva explotació com el possible nombre de màquines afectades, com del seu impate a nivell global. Podeu accedir a la mètrica adjudicada fent clic aquí.

D'altra banda s'ha vist que la majoria de kits d'explotació (descomptant Metasploit) ja l'inclouen dins la seva suite:

  1. Cool EK: Aquest kit ja està instal·lant l'anomenat "Virus de la Policia" en qualsevol de les seves versións segon país. Imatges
  2. Nuclear Pack.
  3. Sakura.
  4. Redkit.
  5. Blackhole. Codi font de l'exploit

Que cal, o podem, fer

Cal tenir en compte que les versions de Java afectades són la 7u10+ (Java 7 Update 10) i totes les posteriors.

Afortunadament, els qui tingueu l'antivirus actualitzat i al dia sembla que per signatura i de forma estàtica, aquests han aconsseguit un detecció forma més que acceptable per a la nova mostra del virus de la policia.

De tota manera, totes les recomanacions van en la línia de des instal·lar immediatament el JRE (Java Runtime Environment) del nostre navegador. Per poder deshabilitar-lo cal que seguiu les instruccions que proporciona Oracle i que podeu trobar aquí.

El fet que en algunes istal·lacions del Panell de Control de Java hi hagués un error en la distribució, fa que aquest no hi sigui sempre present. Si no el trobeu en el "Control Panel" de Windows, podeu executar manualment:
- C:\Program Files\Java\jre7\bin\javacpl.exe o
- C:\Program Files (x86)\Java\jre7\bin\javacpl.exe o
- C:\Archivos de Programa\Java\jre7\bin\javacpl.exe o
- qualsevol de les seves variacions depenet de l'idioma.

No existeix cap sol·lució per mitigar el problema, ja que es tracta d'un problema d'arquitectura del propi Java i no és un error en la implementació. Tan prompte com surti una nova versió de Java caldrà des instal·lar l'actual i posar la nova.

La execució d'aquest exploit és independent del sistema operatiu que tingueu. Atenció als qui teniu Mac o Linux.