Un vendedor afirmó haber encontrado una nueva vulnerabilidad día cero para la cual se ofrece un exploit en foros del mercado negro, según el blog Krebs on Security.

Al parecer, el vendedor estaba ofreciendo información sobre un hueco de seguridad, a tan solo 24 horas después de que Oracle había proporcionado el parche, Java 7 Update 11, para cerrar los otros peligrosos huecos de seguridad que habían sido dados a conocer a finales del 2012. Brian Krebs señala que el vendedor está ofreciendo un exploit para la vulnerabilidad por la cantidad de $5 mil dólares por persona y se dice que ya la ha vendido a dos interesados. El vendedor se dice sorprendido porque “Java ha fallado una vez más y permite que sus usuarios se vean comprometidos”.

Poco después del lanzamiento de la actualización de Oracle, investigaciones en Immunity Products reportaron que la actualización solo corrigió uno de los dos errores reportados y que, a pesar de que el parche detuvo el exploit, “un atacante con suficiente conocimiento del código de Java y con ayuda de otro error día cero que reemplace el hueco corregido, puede fácilmente continuar comprometiendo a los usuarios”.

A la luz de los resultados de Immunity y de los consejos de otros investigadores de seguridad, el US-CERT recomienda deshabilitar Java de los navegadores debido a los riesgos. El consejo de Krebs para tener Java deshabilitado ha sido cuestionado; él ha señalando que los cambios que Oracle ha efectuado, a excepción de su última actualización a 4 días de la anterior, “carecen de cualquier signo externo de consciencia de que su software se encuentra ampliamente instalado en los sistemas de los consumidores” y que los usuarios deben “actuar en consecuencia”.

La recomendación del US-CERT también ha sido revisada, señalando que las implementaciones de código abierto de Java, OpenJDK 7 y IcedTea 2 fueron también vulnerables a los problemas. Ubuntu por ejemplo, ya ha actualizado sus paquetes OpenJDK.