Mostrando entradas con la etiqueta Java. Mostrar todas las entradas
Mostrando entradas con la etiqueta Java. Mostrar todas las entradas

5 sept. 2013

2 Nuevos Bugs en Java 7 (Videos MSF) [storeImageArray & Applet ProviderSkeleton]


Nuevamente han salido a la luz 2 vulnerabilidades, la primera CVE-2013-2465 Java storeImageArray Vulnerability que afecta a Java versiones 7 update 21 y anteriores, Java versiones 6 update 45 y anteriores. La segunda CVE-2013-2460 Java Applet ProviderSkeleton Vulnerability afecta a Java versiones 7 Update 21 y anteriores.

20 abr. 2013

Nuevo Bug en Java 7u17 (Video MSF) [Applet Reflection Type Confusion RCE]



Pareciera ser que Java no ha podido salir del hoyo en el que ha caído después de descubrirse un 0day tras otro, y como si no fuera suficiente nuevamente ha salido a la luz una nueva vulnerabilidad que afecta a Java versiones 7 update 17 y anteriores. 

Fue descubierta por Jeroen Frijters que la publicó el 17-04-2013, recientemente (el 20-04-2013) Metasploit a proporcionado un módulo que explota dicha vulnerabilidad.

26 feb. 2013

Otro 0day en Java permite Ejecución de Código Remoto (Video MSF)

Hace más de un mes que se publicó un Grave 0day en Java que permitía la Ejecución de Código Remoto. Lo cual fue noticia mundial ya que grandes empresas como Apple recomendaron dejar de usar Java, e incluso el gobierno de EEUU llamó a desinstalar por completo Java, ya que era una amenaza real y latente que se dilató en parchar.

Recientemente (18-01-2013) fue descubierta una nueva vulnerabilidad (CVE-2013-0431 Java Applet JMX Remote Code Execution) que es muy parecida a la anterior (incluso parece ser una secuela) que nuevamente afecta al SandBox.

17 nov. 2012

Java Applet JAX-WS Remote Code Execution [Explotando con MSF + Vídeo]

Recientemente se ha publicado una nueva vulnerabilidad en Java, denominada Java Applet JAX-WS Remote Code Execution descubierta por @_juan_vazquez_ la cual afecta a la versión 1.7.0_07-b10 y anteriores.

El exploit respectivo para aprovecharse de esta vulnerabilidad se encuentra respectivamente en los modulos de Metasploit y se puede utilizar con tal solo realizar un msfupdate.

El modulo disponible en Metasploit para esta vulnerabilidad se aprovecha de los JAX-WS classes desde un Java Applet para ejecutar código arbitrario Java.

Los procedimientos y requerimientos para explotar esta vulnerabilidad son muy simples, solo basta con tener BackTrack y un Sistema Virtual para realizar las pruebas.

28 ago. 2012

[Exploit MSF + Vídeo] Vulnerabilidad 0day Java 7 Applet Remote Code Execution

Ayer anunciábamos que se había descubierto una grave vulnerabilidad en Java para la que aun no existe parche,pues bueno, hoy con más tiempo les quiero dejar con el Módulo para Metasploit del cual ya pueden gozar actualizando MSF, que aprovecha el fallo para obtener una sesión Meterpreter que ha sido probado con éxito en los siguientes entornos:

  • Mozilla Firefox en Ubuntu Linux 10.04
  • Internet Explorer / Mozilla Firefox / Chrome en Windows XP
  • Internet Explorer / Mozilla Firefox en Windows Vista
  • Internet Explorer / Mozilla Firefox en Windows 7
  • Safari en OS X 10.7.4

Aquí les dejo el vídeo demostrativo:

27 ago. 2012

Grave vulnerabilidad sin parche en Java

Se ha descubierto una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.

Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.

FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.


9 ago. 2012

[Curso Android] 118 Videotutoriales para aprender a programar para Android

Estoy empezando a programar Apps para Android y este curso me viene como anillo al dedo, se los dejo por si a alguien le interesa.

Hoy en día, tanto en entornos empresariales como a nivel personal, es fundamental estar “conectado”, teniendo a nuestro alcance todas las posibilidades que nos ofrece la red (redes sociales, correo electrónico, chat, mensajería,...). Estas necesidades deben ser cubiertas y Android es la plataforma líder del mercado. Por ello, el grado de demanda de programadores especializados en desarrollo de aplicaciones para terminales Android crece cada día más.