viernes, enero 18, 2013

Dia 111 - Nuevo Java 0 day por 5000 $

Varios portales especializados han recomendado deshabilitar la maquina virtual de Java debido a dos vulnerabilidades de día 0, las cuales todavía no han sido corregidas.

En el CVE-2013-0422, se especifica que :
Esta alerta de seguridad se ocupa de cuestiones de seguridad CVE-2013-0422 y otra vulnerabilidad que afecta a ejecutar en un navegador web Java. Estas vulnerabilidades no son aplicables a Java que se ejecuta en servidores autónomos, aplicaciones de escritorio o aplicaciones Java embebido Java. Tampoco afecta a Oracle software basado en servidor
El problema es que Java esta presenta en mas de 3 billones de equipos, los cuales muchos sin tener ni idea. Según un informe de krebsonsecurity, un experto en seguridad publico este mensaje:
“New Java 0day, selling to 2 people, 5k$ per person.
And you thought Java had epically failed when the last 0day came out. I lol’d. The best part is even-though java has failed once again and let users get compromised… guess what? I think you know what I’m going to say… there is yet another vulnerability in the latest version of java 7. I will not go into any details except with seriously interested buyers.
El gobierno de EEUU, Firefox y otras tantas compañías han tomado medidas para paliar este sin fin de tropelías en una compañía que desde la absorción de Sun, no ha dejado de sobresaltarnos. No muchos sitios requieren ya Java, y todavía resiste software de escritorio que lo utilizar como medio de comunicación con el sistema.

En mi caso ademas de no utilizarlo, aprendí del amigo Yago Jesús  que el NoScript es parte de mi vida. La pregunta realmente que se me plantea en este termino es.. ¿Realmente podemos vivir sin Java?

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

No hay comentarios: