Ny Java-exploit selger for $ 5000 på svart web; mulig trussel mot millioner av PCer

For Oracle er det deja vu igjen.

Bare dager etter at den lanserte en patch for en alvorlig sikkerhetsfeil som ble oppdaget i forrige uke i sitt programmeringsspråk for Java, gjør programvaren overskrifter på nytt fordi en annen tidligere ikke-publisert feil i programmet truer sikkerheten til millioner av PCer som fortsatt kan ha applikasjonen kjørt på den.

Oracle løslatt en feil søndag for en Java-feil så alvorlig at US Department of Homeland Security anbefalte at datamaskinbrukere deaktiverer programvaren, med mindre det var "absolutt nødvendig". [

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows PC]

Dette rådet ble gjentatt mandag ved avdelingens Computer Emergency Readiness Team (US-CERT) selv etter at lappen ble gjort tilgjengelig for brukerne.

Vulnerablity for sale

Nå er det bei ng rapporterte at en underholdende Black Hat satser på en ny Zero Day-sårbarhet for den nyeste versjonen av Java (versjon 7, oppdatering 11) til opptil to kjøpere for $ 5000 hver.

Både weaponized og kildekoden versjoner av sikkerhetsproblemet var å være tilbys av selgeren, ifølge sikkerhetsbloggeren Brian Krebs, som oppdaget tilbudet på et eksklusivt forum for nettkriminalitet. Siden Krebs oppdaget tilbudet, sa han at den er fjernet fra forbrytelsesforumet, og foreslår at selgeren fant sine kjøpere for Utnyttelsen.

"Dette burde eliminere eventuelle illusjoner som folk kan ha om sikkerheten til å ha Java installert på en sluttbruker-PC uten å ta forsiktige skritt for å isolere programmet," skrev Krebs.

Denne nyeste Java-utgaven er verre enn den siste fordi ingen vet hva det er, ifølge Bogdan Botezatu, senior e-trusselytiker med antivirusprogramvare Bitdefender.

I den feilrettede søndag forklarte han utnytte kode ble identifisert b Sikkerhetsforskere i noen populære malwarepakker. Med den nyeste feilen, er den bare kjent for selgeren.

"Den nåværende utnyttelsesmetoden vil trolig forbli ukjent for en større tidsramme, noe som også vil øke angripernees muligheter," sa Botezatu i en epost.

Tidligere i uken, noterte Botezatu i en blogg som til tross for lappen som ble presset av Oracle søndag, fortsatte cyberkriminelle å utnytte sårbarheten på ikke-pakkede maskiner for å installere ransomware på dem.

Oracles sikkerhetsbevegelser

I tillegg til å adressere Zero Day-sårbarhet i søndagens oppdatering, økt Oracle også Java-sikkerhetsinnstillingen til "høy" som standard. "Det betyr at brukeren nå må godkjenne utførelsen av Java-applets som ikke er signert med et gyldig sertifikat, forklarte Jaimie Blasco, leder av AlienVault Labs, i en e-post.

Mens dette trekket er et godt skritt mot gjør Java sikrere i en nettleser, bemerket Blasco, det er langt fra en panacea for Java's problemer.

"Tidligere har vi sett at angriperne kunne stjele et gyldig sertifikat for å signere skadelig kode, så det vant ' Ikke overraske meg hvis vi ser denne teknikken blir brukt, sier han.

Siden Java ser ut til å være riddled med sårbarheter, anbefaler Bitdefenders Botezatu at Oracle identifiserer kjerneelementene i programvaren og skriver om den fra grunnen.

Uten tvil, mer enn en liten omskrivning av programvaren vil bli gjort når Oracle slipper den neste versjonen av Java planlagt til september.