Cuando hace un par de días anunciamos el lanzamiento de una actualización de Java para la grave vulnerabilidad descubierta recientemente, ya dejábamos caer que algunos investigadores pensaban que el fallo solo se había solucionado parcialmente. Al parecer, esas voces críticas con la actualización de emergencia de Java tenían motivos de sobra para estar preocupadas, puesto que ayer por la tarde el investigador Brian Krebs comentó en su blog cómo se estaba vendiendo en foros underground un nuevo exploit para Java.
Al parecer este nuevo exploit afectaría incluso a la versión lanzada hace unos días por Oracle (Java 7 Update 11), por lo que nos encontraríamos de nuevo en el punto de partida con una grave vulnerabilidad que podría ser explotada para propagar malware. No obstante, en esta ocasión y según la información obtenida por Krebs, el descubridor de esta vulnerabilidad solo habría ofrecido el exploit a dos compradores por la cantidad de 5000 $, precio nada elevado y que puede servirnos para hacernos una idea de la gran cantidad de vulnerabilidades que puede contener Java.
Según indicaba el vendedor de este exploit en foros underground, este nuevo 0day de Java no se encontraba aún en ningún exploit kit, lo que daría una notable ventaja a aquellos ciberdelincuentes que lo hayan comprado y deseen empezar a aprovecharse de él para infectar a millones de usuarios con versiones vulnerables de Java. Tampoco es la primera vez que pasa algo parecido, ya que el pasado mes de octubre, a las pocas semanas de lanzarse una actualización de seguridad de Java, se ofreció un nuevo 0day a un reducido grupo de posibles compradores.
De nuevo nos encontramos en la encrucijada de qué hacer si queremos minimizar los riesgos de infectarnos si tenemos Java instalado en nuestro sistema. La decisión para la mayoría de usuarios domésticos es relativamente sencilla, ya que pueden desactivarlo de los navegadores o desinstalarlo completamente. La cosa cambia cuando nos adentramos en entornos corporativos, ya que muchas empresas utilizan programas realizados en Java que son fundamentales para su correcto funcionamiento.
Además, hemos de recordar que Java es un software multiplataforma y que, de la misma forma que pueden aprovecharse de vulnerabilidades en este software para propagar malware en Windows, también puede hacerse lo mismo en sistemas Linux y Mac (recordemos Flashback) si no se toman las medidas adecuadas.
Ahora mismo, a pesar de que la distribución del nuevo exploit es muy limitada, es cuestión de tiempo para que empecemos a ver nuevos ataques aprovechándose de esta vulnerabilidad. Mientras esperamos a que Oracle responda lanzando una nueva actualización de seguridad podemos protegernos de varias formas, ya sea aumentando el nivel de seguridad integrado en el panel de control de Java para que solo ejecute applets firmados y previo permiso del usuario, desactivando el uso de Java en los navegadores o desinstalando completamente Java de nuestro sistemas.