Moins de 24 heures après Oracle a corrigé une faille de sécurité dangereuse dans son Java logiciel utilisé pour prendre le contrôle de les fenêtres Les PC, les mécréants de l’Underweb vendaient déjà un exploit pour une vulnérabilité zero-day différente et apparemment toujours non corrigée en Java, a appris BreachTrace.
Mise à jour, 2 avril, 14 h 57 HE : Ce fil de vente s’est avéré être un canular élaboré conçu par un administrateur de forum sur la cybercriminalité pour connaître le nom d’écran que j’utilisais pour parcourir les sections exclusives de son forum. Voir cette histoire pour plus d’informations à ce sujet.
Histoire originale :
Dimanche, Oracle a publié à la hâte un correctif pour un bogue critique de Java qui avait été intégré dans des kits d’exploitation, des logiciels criminels conçus pour automatiser l’exploitation des ordinateurs via les vulnérabilités des navigateurs Web. Lundi, un administrateur d’un forum exclusif sur la cybercriminalité a publié un message disant qu’il vendait un nouveau Java 0day à deux acheteurs chanceux. Le coût : à partir de 5 000 $ chacun.
Le message de l’administrateur du forum des hackers, dont des extraits sont extraits ci-dessous, promettait des versions militarisées et en code source de l’exploit. Ce vendeur a également déclaré que son Java 0day – dans la dernière version de Java (Java 7 Update 11) – ne faisait pas encore partie d’aucun kit d’exploit, y compris le Cool Exploit Kit dont j’ai parlé la semaine dernière et qui se loue 10 000 $ par mois. De son argumentaire de vente :
« Nouveau Java 0day, vente à 2 personnes, 5k$ par personne
Et vous pensiez que Java avait échoué épiquement lorsque le dernier 0day est sorti. J’adorerais. La meilleure partie est même si Java a de nouveau échoué et a laissé les utilisateurs se compromettre… devinez quoi ? Je pense que vous savez ce que je vais dire… il y a encore une autre vulnérabilité dans la dernière version de java 7. Je n’entrerai dans aucun détail sauf avec des acheteurs sérieusement intéressés.
Le code sera vendu deux fois (il a déjà été vendu une fois). Il n’est présent dans aucun pack d’exploit connu, y compris cette version très privée de [Blackhole] pour 10 000 $/mois. J’accepterai les contre-offres si vous souhaitez surenchérir sur la concurrence. Ce que vous obtenez? Fichiers source non cryptés à l’exploit (afin que vous puissiez avoir recrypté si nécessaire, je vous avertis de faire attention à qui vous autorisez à crypter… ils pourraient essayer de voler une copie) Version cryptée et armée, modifiez simplement l’url dans la page php qui appelle le pot à votre propre URL exécutable et vous êtes prêt. Vous pouvez m’envoyer un mp.
Le vendeur a dû trouver un deuxième acheteur pour l’exploit, car le fil de discussion a depuis été supprimé du forum du crime. À mon avis, cela devrait dissiper toutes les illusions que les gens pourraient avoir sur la sûreté et la sécurité d’avoir Java installé sur un PC d’utilisateur final sans prendre de précautions pour isoler le programme. Je dois noter que cette même chose s’est produite peu de temps après qu’Oracle a publié une mise à jour Java en octobre ; quelques semaines plus tard, un Java 0day était vendu à quelques utilisateurs privés sur ce même forum Underweb.
Oui, il existe encore des sites qui nécessitent Java, mais la plupart des utilisateurs peuvent – et devraient – s’en passer. Pour des conseils sur la façon de conserver Java sans exposer votre ordinateur à un flux constant d’exploits zero-day, consultez mon Q&A Java du week-end dernier.
je suis entré un peu dans un Twitter Je me suis battu hier avec plusieurs lecteurs sur ce point, mais je suis convaincu qu’Oracle est une société de logiciels d’entreprise qui, grâce à son acquisition de Sun Microsystems en 2010, s’est soudainement retrouvée sur des centaines de millions de systèmes grand public. La plupart des conseils sur la façon de verrouiller Java sur les PC grand public ne sont tout simplement pas adaptés à l’entreprise, et vice-versa. Nonobstant le revirement sans précédent de quatre jours d’Oracle sur un correctif pour la dernière faille zero-day, la société n’a aucun signe extérieur de conscience que son logiciel est si largement installé sur les systèmes grand public. Oracle semble envoyer le message qu’il ne veut pas de centaines de millions d’utilisateurs grand public ; ces utilisateurs doivent écouter et réagir en conséquence.