Durante
un buen tiempo Java fue la auténtica bestia negra para la seguridad de los
usuarios, la aparición de nuevos 0days, vulnerabilidades, etc. era tan
frecuente como en la actualidad estamos viendo en Flash. Sin embargo hacía
cerca de dos años que no se anunciaba ningún 0day en Java, pero toda racha está
destinada a romperse: Acaba de
anunciarse un nuevo 0day para Java.
Según Trend Micro las URL que
alojaban el nuevo 0day de Java eran similares a las URLs que se habían visto en
los ataques conocidos como Operación Pawn Storm, lanzados contra miembros de la
OTAN y la Casa Blanca el pasado abril. En este caso, las direcciones que alojaban
el exploit Java estaban incluidas en correos email dirigidos a ciertas fuerzas
armadas de un país de la OTAN y a una organización de defensa de los Estados
Unidos
Se le ha asignado el
identificador CVE-2015-2590 y afecta a versiones de Java 1.8.0.45. Las
versiones anteriores de Java 1.6 y 1.7 no están afectadas por este exploit.
Oracle acaba de publicar una actualización para este 0day como parte de su conjunto
de parches de julio.
Más información:
Pawn Storm
Update: Trend Micro Discovers New Java Zero-Day Exploit
Operation
Pawn Storm Ramps Up its Activities; Targets NATO, White House
Oracle Critical Patch Update Advisory - July
2015
Antonio Ropero
Twitter: @aropero
