Java permite categorizar a las empresas por vulnerables

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Ciertos expertos prefieren categorizar una organización en diferentes sectores (a saber, SMB, SME, Enterprise, etc.) según su volumen de negocios y la cantidad de sistemas que utilizan.

Sin embargo, en el mundo de la seguridad informática simplemente no importa, ya que hay una vulnerabilidad que está a la espera de ser explotada, incluso después de que la actualización del parche esté disponible, a menos que y hasta que alguien para gobierno o una la organización presente un software e-filing (amigable) que no dependa de JAVA.

Algunos pueden considerar pasar a sistemas operativos más seguros, sin embargo, incluso esto no es posible ya que JAVA no depende de ningún sistema operativo y los exploits de JAVA funcionan sin problemas en cualquier plataforma de sistema operativo, OS X, Linux o Windows; solo es la carga lo que importa.

La última vulnerabilidad de Metasploit para esta vulnerabilidad ha sido probada en múltiples configuraciones, incluyendo: IE, Firefox, Chrome y Safari en Windows, Linux y OS X, etc.

Para el propósito de las estadísticas aquí hay algunos enlaces interesantes:

1: Vulnerabilidades de Acrobat Reader Stats

2: Vulnerabilidades de Acrobat Reader Version-wise Stats

3: JRE Vulnerabilities Stats 4 de Java.

Durante este año ya hemos mencionado en Comunidad Vintegris diferentes casos relacionados con la explotación de vulnerabilidades de Java, como por ejemplo el exploit 0-day en Java utilizado masivamente por exploit kits o la explicación de cómo un exploit 0-day de Java logró instalar un malware en Facebook.

Recordemos también que más de 600.000 Mac OS X infectados por FlashBack, centenares de dispositivos Windows afectados por el malware de la policía, entre otros vectores similares. Todos los ataques confluyen en un origen común: para instalarse en el equipo, aprovechan un fallo de seguridad en Java.

El entorno de ejecución de Java sigue siendo uno de los programas más peligrosos que se pueden tener en un ordenador, independientemente del sistema operativo.

 

Josep Verdura – Analista de Seguridad de Vintegris