Ny Java exploit sælger til $ 5000 på sort web; mulig trussel mod millioner af pc'er

For Oracle er det deja vu igen.

Bare dage efter at den har udgivet en patch for en alvorlig sikkerhedsfejl, der blev opdaget i sidste uge i sit Java-programmeringssprog, gør softwaren overskrifter igen, fordi en anden tidligere upubliceret fejl i programmet truer sikkerheden for millioner af pc'er, der muligvis stadig har programmet kørende på det.

Oracle udgivet en fix søndag for en Java-fejl, så alvorlig, at US Department of Homeland Security anbefalede computerbrugere at deaktivere softwaren, medmindre det var "absolut nødvendigt". [

[Yderligere læsning: Sådan fjernes malware fra din Windows PC]

Dette råd blev gentaget mandag af afdelingens computerberedskabsteam (US-CERT), selv efter at patchen blev stillet til rådighed for brugerne.

Vulnerablity til salg

Nu er det bei ng rapporterede, at en initiativrig Black Hat udfordrer en ny Zero Day-sårbarhed for den nyeste version af Java (version 7, opdatering 11) til op til to købere for $ 5000 hver.

Både weaponized og source code versioner af sårbarheden var at være tilbudt af sælgeren, ifølge sikkerhedsbloggeren Brian Krebs, der opdagede tilbuddet på et eksklusivt forum for cyberkriminalitet. Da Krebs opdagede tilbuddet, sagde han, at den er blevet fjernet fra forbrydelsesforumet og foreslået, at sælgeren fandt sine købere for udnyttelsen.

"I dette øjemed bør dette fjerne eventuelle illusioner, som folk måtte havne om sikkerheden ved at have Java installeret på en slutbruger pc uden at tage omhyggelige skridt til at isolere programmet," skrev Krebs. > Denne seneste Java-udnyttelse er værre end den sidste, fordi ingen ved, hvad det er, ifølge Bogdan Botezatu, senior e-trussel analytiker med anti-virus software maker Bitdefender.

I den fejlrettede søndag forklarede han udnyttelseskode blev identificeret b y sikkerhedsforskere i nogle populære malware kits. Med den seneste fejl er den kun kendt for sælgeren.

"Den nuværende udnyttelsesmetode vil sandsynligvis forblive ukendt for en større tidsramme, hvilket også vil øge angriberens muligheder for muligheder," sagde Botezatu i en email.

Tidligere i ugen noterede Botezatu sig i en blog, der på trods af plasteren, der blev skubbet af Oracle søndag, fortsatte cyberkriminelle til at udnytte sårbarheden på ikke-pakkede maskiner til at installere ransomware på dem.

Orakels sikkerhedsbevægelser

Ud over at adressere Zero Day sårbarhed i søndags plaster, øget Oracle også Java's sikkerhedsindstilling til "høj" som standard. "Det betyder, at brugeren lige nu skal godkende udførelsen af ​​Java-applets, der ikke er underskrevet med et gyldigt certifikat," forklarede Jaimie Blasco, leder af AlienVault Labs, i en email.

Mens dette skridt er et godt skridt mod gør Java mere sikker på en browser, bemærkede Blasco, at det er langt fra et panacea for Java's problemer.

"Tidligere har vi set, at angriberne var i stand til at stjæle et gyldigt certifikat for at underskrive ondsindet kode, så det vandt ' Overrask mig ikke, hvis vi ser denne teknik, der bruges, "sagde han.

Bittefenders Botezatu anbefaler at Oracle identificerer softwarekernens kernekomponenter og omskriver det fra bunden.

Uden tvivl, mere end en lille omskrivning af softwaren vil blive gjort, når Oracle udgiver den næste version af Java planlagt til september.