News

Oracle publica un parche fuera de ciclo para Java 7

Oracle ha roto su ciclo programado de actualizaciones para publicar un parche de emergencia para unas vulnerabilidades en Java 7 que los cibercriminales ya han comenzado a explotar. Pero algunos expertos en seguridad afirman que la reacción de Oracle no es tan rápida como parece, pues la empresa ya sabía de la existencia de la amenaza desde abril.

Los hackers utilizan estas vulnerabilidades para irrumpir en sistemas a distancia sin necesidad de autentificaciones como nombres de usuario y contraseñas. “Cuando se explotan con éxito [las vulnerabilidades], se impacta la disponibilidad, integridad y confidencialidad del sistema del usuario”, explicó Oracle.

Las vulnerabilidades se hicieron públicas la semana pasada, cuando criminales virtuales comenzaron a utilizarlas en ataques “drive-by”. Oracle tenía programado publicar sus próximas actualizaciones en octubre, por lo que algunas empresas se adelantaron y publicaron sus propias herramientas para proteger a sus clientes de forma provisional hasta que llegara la fecha establecida para recibir los parches.

Pero Oracle sorprendió con esta actualización de emergencia pocos días después de que se descubrieran los ataques. Aun así, la empresa está siendo criticada por haber tardado demasiado en publicar el parche para las vulnerabilidades, que ya conocía desde abril.

Las vulnerabilidades sólo se encuentran en la versión de Java para navegadores. Es decir, las aplicaciones Java de escritorio o las que se ejecutan en servidores no tienen este problema. Por ahora sólo se está atacando a usuarios de Windows, aunque se ha comprobado que las vulnerabilidades también afectan a otros sistemas, como Mac OS X.

“Debido a la gravedad de estas vulnerabilidades, Oracle recomienda a sus clientes que instalen esta actualización lo antes posible”, dijo la empresa en una declaración oficial.

Fuentes:

Oracle patches Java 7 vulnerability Cnet

Oracle Quietly Releases Fix For Serious Java Security Bug–Months After It Was Reported Forbes

Oracle rushes out patch for critical 0-day Java exploit The Register

Oracle publica un parche fuera de ciclo para Java 7

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada