Ha pasado menos de una semana desde que Oracle ha parcheado la vulnerabilidad encontrada en Java 7 Actualización 10 pero otra vulnerabilidad ZERO-DAY, que parece funcionar en Java 7 Actualización 11 ya se vende en el mercado clandestino.
Brian Krebs, quien encontró un anuncio para la explotación en un foro de hackers el lunes, revela que el autor ofreció vender el exploit a dos personas por el precio de 5.000$ (3.750). El vendedor prometió a los compradores una versión "cifrada" y "armada" de la explotación.
En el anuncio que publicó, el vendedor afirma que la explotación no fue integrada en ningún kit de explotación conocido, ni siquiera en el caro Cool Exploit Kit.
Según Krebs, probablemente el ciberdelincuente ya encontró compradores ya que la oferta fue eliminada del foro.
Esto demuestra que el Departamento de Seguridad Nacional de EEUU hace lo correcto al asesorar a los usuarios desinstalar Java si no lo necesitan para sus tareas diarias.
En su aviso, el DHS ha advertido que aunque Oracle haya parcheado un error, algunas vulnerabilidades anteriores aún no han sido corregidas, y agujeros de seguridad son identificados en Java todo el tiempo.
Fuente
Brian Krebs, quien encontró un anuncio para la explotación en un foro de hackers el lunes, revela que el autor ofreció vender el exploit a dos personas por el precio de 5.000$ (3.750). El vendedor prometió a los compradores una versión "cifrada" y "armada" de la explotación.
En el anuncio que publicó, el vendedor afirma que la explotación no fue integrada en ningún kit de explotación conocido, ni siquiera en el caro Cool Exploit Kit.
Según Krebs, probablemente el ciberdelincuente ya encontró compradores ya que la oferta fue eliminada del foro.
Esto demuestra que el Departamento de Seguridad Nacional de EEUU hace lo correcto al asesorar a los usuarios desinstalar Java si no lo necesitan para sus tareas diarias.
En su aviso, el DHS ha advertido que aunque Oracle haya parcheado un error, algunas vulnerabilidades anteriores aún no han sido corregidas, y agujeros de seguridad son identificados en Java todo el tiempo.
Fuente