Il nuovo exploit Java vende per $ 5000 su web nero; possibile minaccia a milioni di PC

Per Oracle, è deja vu di nuovo.

Solo giorni dopo aver rilasciato una patch per un grave difetto di sicurezza scoperto la scorsa settimana nel suo linguaggio di programmazione Java, il software sta facendo di nuovo notizia perché un altro difetto precedentemente non pubblicizzato nel programma minaccia la sicurezza di milioni di PC su cui potrebbe ancora girare l'applicazione.

Oracle ha rilasciato una correzione domenica per un difetto Java talmente grave che il Dipartimento della Sicurezza Nazionale degli Stati Uniti ha raccomandato che gli utenti di computer disabilitassero il software a meno che non fosse assolutamente necessario.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Quel consiglio è stato ripetuto lunedì dal Computer Emergency Readiness Team (US-CERT) del dipartimento anche dopo che la patch è stata resa disponibile agli utenti.

Vulnerablity in vendita

Ora è bello ng ha riferito che un intraprendente Black Hat sta vendendo una nuova vulnerabilità Zero Day per l'ultima versione di Java (versione 7, aggiornamento 11) a un massimo di due acquirenti per $ 5000 ciascuno.

Sia le versioni con armi che il codice sorgente della vulnerabilità erano offerto dal venditore, secondo il blogger della sicurezza Brian Krebs, che ha scoperto l'offerta in un esclusivo forum sui crimini informatici.

Da quando Krebs ha scoperto l'offerta, ha detto, è stata rimossa dal forum criminale, suggerendo che il venditore ha trovato i suoi acquirenti per l'exploit.

"A mio parere, questo dovrebbe dissipare ogni illusione che la gente possa nutrire circa la sicurezza e la sicurezza di avere Java installato su un PC dell'utente finale senza prendere precauzioni per isolare il programma", ha scritto Krebs. > Questo ultimo exploit di Java è peggiore di quello precedente perché nessuno sa cosa sia, secondo Bogdan Botezatu, analista senior di e-threat con il produttore di software anti-virus Bitdefender.

Nel difetto patch domenica, ha spiegato, il codice di exploit è stato identificato b y ricercatori di sicurezza in alcuni kit malware famosi. Con l'ultimo difetto, è noto solo al venditore.

"L'attuale metodo di sfruttamento rimarrà probabilmente sconosciuto per un periodo di tempo più lungo, che aumenterà anche le finestre di opportunità degli attaccanti", ha detto Botezatu in un messaggio di posta elettronica. > All'inizio di questa settimana, Botezatu ha notato in un blog che, nonostante il patch spinto da Oracle domenica, i criminali informatici hanno continuato a sfruttare la vulnerabilità su macchine prive di patch per installare ransomware su di loro.

Spostamenti di sicurezza di Oracle

Oltre a indirizzare il problema Vulnerabilità Zero Day nella patch di domenica, Oracle ha anche aumentato l'impostazione di sicurezza di Java su "alto" per impostazione predefinita. "Ciò significa che in questo momento l'utente deve autorizzare l'esecuzione di applet Java che non sono firmate con un certificato valido", ha spiegato Jaimie Blasco, responsabile di AlienVault Labs, in una email.

Mentre quella mossa è un grande passo verso rendendo Java più sicuro su un browser, ha osservato Blasco, è ben lungi dall'essere una panacea per i problemi di Java.

"In passato, abbiamo visto che gli hacker erano in grado di rubare un certificato valido per firmare il codice dannoso così ha vinto" mi sorprende se vediamo che questa tecnica viene utilizzata ", ha detto.

Poiché Java sembra essere pieno di vulnerabilità, Botezatu di Bitdefender raccomanda a Oracle di identificare i componenti principali del software e di riscriverlo da zero.

Senza dubbio, più di un po 'di riscrittura del software sarà fatto quando Oracle rilascia la prossima versione di Java prevista per settembre.