Esteu aquí

No correu tant ... cafeïnòmans

JavaEl dia 11 de gener (2013 of course) Kafeine advertia en un tuit de l'existència d'una vulnerabilitat desconeguda fins ara de Java que estava sent explotada per molts dels kits d'exploits com Nuclear Pack, Cool Ek o Blackhole. Podeu trobar informació al bloc de seguretat de la UOC. Aquesta vulnerabilitat afectava a la versió 7u10 de Java i anteriors.

Al cap de ben pocs dies, Oracle va treure una nova versió de Java corresponent a la versió 7u11 i que corregia la vulnerabilitat. Podeu trobar més informació en aquest avís. Bé tot això en el termini de 3 dies, un record absolut tenint en compte com gestiona Oracle la correció de les vulnerabilitats dels seus productes. Fins aquí tots tranquils, ja podiem re-habilitar el Java en el nostre browser favorit.

Però el que són les coses, no feia i mig dia que Oracle havia publicat la correcció del problema, quan Brian Krebs en el seu bloc advertia que: un administrador d'un dels fòrums de cibercrim més "exclusius" havia publicat un missatge dient que havia venut un nou Zero day (0day) de Java a dos afortunats compradors per la mòdica xifra de 5.000$ a cadascun d'ells.

New Java 0day, selling to 2 people, 5k$ per person
And you thought Java had epically failed when the last 0day came out. I lol’d. The best part is even-though java has failed once again and let users get compromised… guess what? I think you know what I’m going to say… there is yet another vulnerability in the latest version of java 7. I will not go into any details except with seriously interested buyers.

Code will be sold twice (it has been sold once already). It is not present in any known exploit pack including that very private version of [Blackhole] going for 10$k/month. I will accepting counter bids if you wish to outbid the competition. What you get? Unencrypted source files to the exploit (so you can have recrypted as necessary, I would warn you to be cautious who you allow to encrypt… they might try to steal a copy) Encrypted, weaponized version, simply modify the url in the php page that calls up the jar to your own executable url and you are set. You may pm me.

El problema sembla seriós donat què, a més que el missatge va ser posat en el mateix fòrum que l'anterior 0day, el venedor ha promés versions del codi font de l'exploit i tota l'assessoria per poder-lo executar als dos possibles compradors.
Oracle encara no ha dit res al respecte sobre aquesta nova i suposada vulnerabilitat de Java, per tant tampoc s'espera un nou pegat. La conclusió és que el més prudent sembla continuar amb el Java desactivat en el nostre navegador i tenir molt de compte amb els llocs web que es visiten.

Podeu revisar les recomanacions al bloc de seguretat de la UOC.