www.MegaLab.it

[Al3x]

Falla zero day per Java 7 che però non colpisce la versione 6. Da febbraio ci sarà però un upgrade forzato per cui, se Oracle non provvede per tempo, avremo un esercito di postazioni vulnerabili che si aggiungeranno a quelle già esistenti.
http://blog.beyondtrust.com/java-0day-e ... g-building

[sampei.nihira]

Anche se io adesso non posso fare alcun test mi pare di rilevare su MDL che ci sono già dei js (alcuni in pagine web italiane) che redirezionano verso un exploit.
Sarebbe interessante verificare se ES browser edition riesce a bloccare il tutto visto che ogni utente che ha installato JAVA 7 è soggetto all'exploit messo in luce:

http://malware.dontneedcoffee.com/2013/ ... sable.html

[gianpietro]

Per maggiori informazioni vedi qui:

http://www.ilsoftware.it/articoli.asp?t ... guire_9515

[sampei.nihira]

Non evidenzia che sia possibile disabilitare l'applet.
E non fà riferimento anche alla possibilità di incappare in java tramite le suite office se queste sono installate.

[Andy94]

Visto che trattano lo stesso argomento, ho unito in un'unica discussione i topic di Alex e gianpietro.
Continuiamo pure qui.

[sampei.nihira]

Noto che non ci sono stati tests.
Peccato.
Non sò se avevate notato che i links erano stati disattivati con uno spazio aggiunto dopo il . (punto).

Ho provato quest'oggi (prima non potevo) io.
Con Opera nulla ogni sito web è stato disattivato.
Ho provato anche con I.E. (magari c'era un meccanismo di riconoscimento browser) stessa storia di cui sopra.


Quindi mi sono rivolto altrove.
E quì ho avuto maggiore fortuna.
Anche se l'analisi ormai era stata tracciata.

Quindi perché fare un lavoro inutile ?

Ecco sotto quanto detto:

http://joe4security.blogspot.ch/2013/01 ... nical.html

l'avevo scritto anche qualche tempo prima,che ci sono malwares in grado di riconoscere la presenza della macchina virtuale.
Non solo anche la presenza di SandboxIE.
Questo è uno di questi.

Il malware quindi di tipo fakepolicialert sfrutta quest'ultima vulnerabilità java ricordo ancora priva di patch.

Quegli utenti di MLI che hanno avuto la sorpresa di vedere l'avviso visualizzato a schermo devono ringraziare il loro JAVA installato.
Ed ovviamente il fatto che non hanno impedito l'applet JAVA nei browser utilizzati.

Siccome ho letto di alcuni utenti che hanno avuto ricorrenti infezioni anche a distanza di pochissimo.
Sarebbe interessante se questi utenti compiendo le solite operazioni in rete quotidiane provano:

1) Inserire JAVA in EMET e vedere se l'exploit viene intercettato.

2) Installano ExploitShields browser-edition e vedono se l'exploit viene intercettato.

Io nel frattempo provo a verificare (non è detto che ho fortuna) se ES ha bloccato qualche paylod dal solito nome dei malwares che sfruttano la vulnerabilità in questione.

[sampei.nihira]

No.

[farbix89]

Ma colpisce anche le versioni open di Java?

Io uso da tempo OpenJDK 7 su Linux, non perdo le funzionalità dei siti che richiedono Java ma al contempo evito le vulnerabilità più pericolose (il codice Java open sembra immune).

Devo provare qualche link dell'exploit :)

[sampei.nihira]

Buon pomeriggio Farbix.
Non sò se la domanda è stata posta a me (che son tornato adesso a casa).
La risposta è che.......... non lo sò.
A ben vedere Secunia cita solo Oracle Java.

Ricordo però che Hungry Man scriveva che è quasi indispensabile inserire un profilo java in Apparmor:

http://www.insanitybit.com/2012/05/29/apparmor-how-to/

Viceversa lo sviluppatore di ES ha dichiarato che il sw protegge anche contro quest'ultimo exploit che sfrutta la vulnerabilità java.
Mi pare un'ottima notizia.

Come potrebbe essere interessante quella di rimuovere l'installazione di JAVA presente nei nostri pc ed utilizzare quelle poche volte che serve solo l'applicazione portable da pen-drive con un browser anch'esso portable (per esempio Chrome).

http://portableapps.com/apps/utilities/java_portable

io francamente non ho mai preso in considerazione questa soluzione.
Ma la metto alla vostra attenzione.
Magari qualche utente di MLI la sperimenta un po'.

[farbix89]

interessante, java portable :)

[sampei.nihira]

[FrankSix]

Dopo aver letto il topic, ho alcune domande (magari generiche) .
Un utente che ha java installato nel proprio sistema, cosa può fare allo stato attuale? (Oltre chiaramente a disinstallarlo )
Avere disattivato gli JavaScript e avere il "Click To Play" nel proprio browser (nel mio caso Chrome), è una protezione sufficiente?
Sono stati immessi degli update per i principali OS (a me interesserebbero Windows7 e OS X nello specifico) che inibiscono questo problema?
Per "soffrire" di questa falla è comunque necessario aprire dei siti "infetti"? O esistono anche altre modalità di infezione?

Grazie a chi risponderà!

[sampei.nihira]

Rispondo io un attimo.....ho capito che non devo fare oggi quello che avevo da fare !!

[sampei.nihira]

Al di là della considerazione che la configurazione di sicurezza può proteggere il sistema perché agisce su più fronti.....noi per semplicità immaginiamo che ogni intervento sia affidato più al caso che altro e quindi esaminiamo solo le certezze sotto questo paragrafo.
perché è ovvio se io visito un sito web infetto ma i miei Norton DNS in quello specifico sito web intervengono, non mi infetto,......e così via per tutto ciò che compone la nostra protezione.

Quindi con la forzata semplificazione di cui sopra,si il "click to play" impedisce l'applet java quindi è una protezione "a monte" sufficiente a patto ovviamente di non abilitare in qualche sito web infetto l'applet.
Quindi nel suddetto caso molta differenza la fà l'utente.
Senza contare che potrebbe verificarsi il caso che tu hai già abilitato permanentemente l'esecuzione del plugin in qualche sito che ieri era sano ed oggi o domani viene compromesso (tu non lo sai),altra ipotesi da prendere in considerazione.
Ovviamente l'inibizione dell'applet java non si ottiene solo nel modo suddetto e solamente con chrome.
Io per esempio che uso Opera ho l'attivazione dei plugins solo su richiesta e quindi ottengo la stessa cosa.

Altro metodo di blocco "a monte" potrebbe essere quello di installare ES.
Se non altro per le dichiarazioni dello sviluppatore.

Non sono in grado di rispondere alla domanda se esistono altre modalità di infezione.
E' ancora presto per dirlo e la minaccia è concreta da poco tempo.

Però possiamo fare un altro esempio.
Io uso Libreoffice oppure Openoffice......
Sapete tutti che questi programmi usano l'ambiente JAVA.
In questo momento sarebbe utile disattivare la spunta java in via precauzionale.
In mancanza di ciò,se non ricordo male,non è possibile,per esempio, inviare il documento via e-mail (magari verificate) tramite il client di posta elettronica.
Meglio avere una funzionalità ridotta che una possibile via traversa di infezione.

Ma magari molti utenti non sono a conoscenza di ciò e quindi......

[FrankSix]

Grazie Sampei per l'estrema completezza nelle tue risposte
Si, ovviamente il mio è uno scenario estremamente semplificato...non ho voluto considerare tutta una configurazione di sicurezza che può andare dalla presenza di software antivirus e/o un firewall con HIPS a, come tu hai giustamente ricordato, la presenza di DNS

Sono contento che un'impostazione semplice come quella del click to play (o di equivalenti in altri browser) possa già essere protettiva, sempre fatte le considerazioni riguardanti siti "preferiti" che poi diventano dannosi.

In merito a OS X ho letto che l'11/01 è stato fatto un aggiornamento del sistema che inibisce l'ultima versione java! Per windows non so! (e a questa domanda mi sono semi-risposto da solo )

Ho notato che non hai fatto riferimento agli JavaSript, è per il fatto che non sono correlabili a questo tipo di falla Java? Oppure non intervengono in merito a questi problema di sicurezza?

Grazie!

[sampei.nihira]

Ti linko un articolo che risponde alle tue domande comprese quella di OSX:

http://krebsonsecurity.com/2013/01/what ... a-exploit/

nel frattempo è uscito l'update 11 quindi aggiornate.
In questa ver il cursore della scheda sicurezza è stato innalzato ad "alto" di default.
In pratica con questa ver l'utente ha una notifica a schermo (pop-up) dell'esecuzione dell'applicazione java e decide se acconsentire o meno.

[Blumare]

Infatti ecco un articolo su come procedere all’aggiornamento : http://www.ilsoftware.it/articoli.asp?t ... edere_9521 .

[nV 25]

ma consigliare di evitare di installarlo a meno di non poterne proprio fare a meno?

A caratteri cubitali, guardate...

[farbix89]

l'upload delle foto da Facebook usa ancora Java... come facciamo a dire ad 1 miliardo di persone che non possono più caricare fotografie?

[Blumare]

Intanto , il Java Deployment Toolkit 7.0.100.18 10.10.2.18 non ne vuol sapere di disinstallarsi del tutto dal mio Firefox 18.0 ! Toobar Cleaner 1.1.0.3 lo ha solo disattivato ma non lo disinstalla .
Ci sono anche alcuni siti istituzionali che usano java , non che sia indispensabile però .