Según la compañía Security Explorations, responsables de haber descubierto buena parte de los últimos agujeros de seguridad en Java, al final de agosto la compañía había informado a Oracle del problema que está detrás del último 0 day exploit para Java 7 Update 10 (un problema con el API de Reflection a la hora de chequear los permisos del código que invoca cierta funcionalidad).
En aquel momento Oracle publicó un parche de seguridad que supuestamente resolvía el problema. Sin embargo, este parche no cerraba completamente el agujero de seguridad, lo que ha permitido que aparezca otro nuevo 0 day exploit basado en esta vulnerabilidad. Según Security Explorations, esta no es la primera vez que Oracle mete la pata al parchear una vulnerabilidad.
En estos momentos sigue sin haber ningún parche para el último 0 day exploit, que ya ha sido incorporado en los dos Exploit Kits más comúnmente empleados por los hackers: BlackHole Exploit Kit (BHEK) (que en el mercado negro tiene un precio de $1500 al año) y el Cool Exploit Kit (CEK) (que tiene un precio de $10,000 al mes; sí, $10,000 al mes, no al año).
El 0 day exploit ya se está empleando en Ransomware (TROJ_REVETON.RG y TROJ_REVETON.RJ). Éste tipo de malware bloquea el acceso a todo tipo de algún modo. Por ejemplo, en cripta tu disco duro. Y si no pagas (en este caso están pidiendo entre 200 y $300) pierdes los datos. En ocasiones, el mensaje que muestra los usuarios afirma ser de la policía y que el usuario debe pagar alguna multa por algún motivo (como haber descargado contenido de redes de BitTorrent).
Actualización de la noticia:
Más información sobre este tema:
- El departamento de seguridad interior estadounidense recomienda que los usuarios dejen de usar Java (no queda claro si de modo temporal o hasta que haya un parche)
- Apple ha desactivado el plugin Java en MAc OS X a través de una actualización del sistema operativo