No le va bien a Java. Apenas acababa de parchar de emergencia este lunes una vulnerabilidad aprovechada por atacantes para comprometer computadoras y ya los expertos de seguridad decían que el parche era insuficiente pues Java sigue con vulnerabilidades.
Hoy Brian Krebs, reportero de temas de Seguridad Informática, revela en su blog que en la web subterránea se está ofreciendo por 5 mil dólares un nuevo código exploit para una nueva vulnerabilidad crítica día-cero en la versión 7u11 de Java. Se trata nada menos que de la actualización de Java publicada este lunes para corregir el fallo reportado la semana pasada. El código de explotación de este nuevo fallo todavía no se encuentra en algún paquete de explotación de vulnerabilidades, como por ejemplo Blackhole.
Es probable que pronto estos paquetes incluyan el exploit y los cibercriminales que los usan puedan extender sus operaciones debido a que Java es un software ampliamente utilizado en todo el mundo. También es posible que los gobiernos lo utilicen en sus operaciones de ciberespionaje como Octubre Rojo, un ataque que Kaspersky descubrió que lleva activo desde 2007 a países de Europa del Este, América del Norte y Europa Occidental; y en el que Seculert identificó un vector de ataque en el que se estaba explotando una vulnerabilidad en Java.
La popularidad de Java es un elemento decisivo para ser objeto de estudio en busca de vulnerabilidades que puedan ser aprovechadas para las operaciones cibercriminales, sean de particulares o de gobierno. ¿Está fallando en su seguridad? No lo sabemos, aunque las recientes vulnerabilidades día-cero sugieren que sí. Tanto que Java mismo tuvo que cambiar de “Medio” a “Alto” su nivel predeterminado de seguridad.
Hay que considerar que antes los expertos se fijaban en los fallos en los productos Microsoft, específicamente Windows e Internet Explorer; ahora la popularidad se ha extendido además a productos de fabricantes como Adobe, Oracle, Apple, entre otros. La popularidad en el uso define objetivos para identificar vulnerabilidades y su explotación en ataques. ¿Cuántas desconoceremos simplemente por usar un producto no popular? Y de estas, ¿cuántas estarán siendo objeto de ataque?
Por lo mientras, para mitigar el riesgo de la vulnerabilidad en Java la recomendación es desactivar Java en el navegador aunque hay quienes sugieren desinstalarlo. Dos fallos críticos día-cero en menos de una semana, vaya que le ha llovido a Java, y a Oracle su desarrollador.