Fuente: SearchSecurity.com

Varios investigadores de seguridad han descubierto una ola de ataques pasajeros que intentan aprovechar una nueva vulnerabilidad de día cero en Java para servir malware.

Código de prueba de concepto fue publicado el 9 de abril por el Ingeniero de Google Tavis Ormandy, después de que los ingenieros de Sun Microsystems Inc., dijeran al investigador que el problema no era lo suficientemente grave como para justificar una corrección inmediata. Ormandy publicó detalles de la falla de Java en un mensaje en la lista de correo “Full Disclosure”. La vulnerabilidad afecta a todas las versiones de Windows y ha sido confirmada en equipos que ejecutan Internet Explorer (IE) y Firefox de Mozilla. En su mensaje, Ormandy especificó varias soluciones temporales hasta que se pueda implementar un parche.

“La sencillez con la que este error puede ser descubierto me ha convencido de que liberar este documento beneficia a todos excepto al proveedor”, escribió Ormandy. “La explotación de esta debilidad no es muy emocionante, pero es potencialmente de un impacto suficientemente alto como para merecer una explicación.”

El problema es con el framework de Java WebStart (JavaWS), un plug-in y control ActiveX distribuido con el Java Deployment Toolkit, instalado por defecto en el Java Runtime Environment, escribió Ormandy. El “toolkit” se utiliza para proporcionar a los desarrolladores una forma de distribuir aplicaciones de manera fácil.

Roger Thompson, jefe de investigación del proveedor de antivirus AVG Technologies Inc., dijo que los ataques pasajeros o “drive-by”, que aparecieron esta semana, fueron descubiertos en un sitio de publicación de letras de canciones. Cuando un visitante trataba de ver las letras de la música de artistas como Rihanna, Usher, Lady Gaga y Miley Cyrus, el código de ataque exploraba el equipo de la víctima en un intento de encontrar y explotar esta falla, entre otras. Thompson dijo.

“El código en cuestión es muy simple, lo que hace que sea fácil de copiar, por lo que no es sorprendente que tan sólo cinco días después estamos detectando el código en un servidor de ataque en Rusia”, dijo Thompson.

Sun Microsystems, que mantiene Java, fue adquirida por Oracle Corp. en enero. Oracle publicó una actualización esta semana como parte de su ciclo de parches trimestral, que incluye una actualización de Sun Java. El problema no fue abordado en la última actualización. La empresa no respondió a una solicitud de comentario.

El problema de Java fue reportado por primera vez la semana pasada por Dennis Fisher de ThreatPost.com.

Rubén Santamarta, investigador de seguridad y experto en técnicas de ingeniería inversa de Wintercore, una empresa de seguridad con sede en España, también escribió sobre la falla en un aviso que advirtió de que el error podría permitir la ejecución remota. Como solución, Santamarta instó a los usuarios a deshabilitar javaws.exe en Windows.