Java vuelve a los titulares porque se ha encontrado una nueva vulnerabilidad que puede afectar a millones de PC e incluso tener ya una aplicación maliciosa instalada.
El pasado domingo, Oracle presentó un parche para un fallo serio de Java para el que el Departamento de Seguridad Nacional de Estados Unidos recomendó que se deshabilitara el software, a menos que su uso fuera “absolutamente necesario”. La advertencia fue secundada el lunes por el ERT, incluso después de que el parche estuviera disponible.
En estos momentos, se investiga a un denominado Black Hat que podría haber ofrecido esta nueva vulnerabilidad Día Cero para la última versión de Java (versión 7, actual 11) a más de dos compradores, por $5,000 dólares cada uno. Incluso, parece haber quedado reflejado en un foro centrado en cibercrimen donde se mencionaba esta vulnerabilidad.
Este último fallo de Java es peor que el anterior porque nadie sabe lo que es, asegura Bogdan Botezatu, analista de amenazas electrónicas de Bitdefender.
En el fallo parcheado el domingo, asegura, el código erróneo fue identificado por analistas de seguridad en algunos kits de malware populares. La última vulnerabilidad solo la conoce el vendedor.
“El actual método de explotación seguirá siendo desconocido durante un tiempo, lo que aumentará la ventana de oportunidad para los atacantes”, asegura Botezatu.
Oracle ya está trabajando para evitar este ataque aumentando los controles de seguridad de Java por defecto. “Esto significa que ahora el usuario tiene que autorizar la ejecución de applets Java que no estén firmados con un certificado válido”, explica Jaimie Blasco, manager de AlienVault Labs.
Aunque este movimiento es un gran paso para mejorar la seguridad de Java en un navegador, Blasco subraya que está lejos de ser la panacea para los problemas de Java.
“Ya hemos visto en el pasado que los atacantes fueron capaces de robar un certificado válido para firmar código malicioso, así que no me sorprendería que se utilizara esta técnica de nuevo”, reconoce.
Ante las constantes vulnerabilidades que se están encontrando en Java, Botezatu recomienda a Oracle identificar los componentes fundamentales del software y reescribirlos desde el principio.