Otra vulnerabilidad en Java, continúan los problemas
Oracle ha lidiado durante el mes pasado con una serie problemas de seguridad en Java, sin embargo ahora tiene otro problema en sus manos: una nueva falla que afecta a varias versiones de su plataforma, lo que podría otorgar el control de una máquina específica a un atacante.
La firma polaca de investigación de vulnerabilidades, Security Explorations, quienes han descubierto una gran cantidad de errores en Java este año, dijo que las últimas fallas impactan a las versiones 5, 6 y 7 de Java SE, ejecutándose en los navegadores web más utilizados (FIrefox, Google Chrome, Internet Explorer, Opera y Safari).
Security Explorations notificó a Oracle de la vulnerabilidad el pasado martes y también publicó un mensaje en BugTraq, un archivo de listas de correos, el mismo día. Los investigadores no están conscientes de algún ataque activo que explote la falla.
Adam Gowdiak, fundador y CEO de Security Explorations, escribió el martes en un correo electrónico a SCMagazine.com que la firma descubrió el error la semana pasada (que puede comprometer a las máquinas, pasando completamente por alto el sandbox de seguridad de Java).
“Un applet malicioso de Java o aplicación realizando exploits en este error, puede funcionar sin restricciones en el contexto de un proceso específico de Java, como una aplicación de navegador Web”, mencionó Gowdiak. “Un atacante podría entonces, instalar programas, ver, cambiar o eliminar datos con los privilegios de un usuario con sesión de inicio”.
Security Explorations trabajó el fin de semana para confirmar el problema, desarrolló y realizó una prueba de concepto PoC para el código de la falla. Las cicunstancias que generan impacto crítico de esta vulnerabilidad incluyen el hecho de que el error está presente en múltiples versiones de Java, a diferencia de un exploit de agosto que sólo afectaba la versión 7.
Alrededor de 1.1 mil millones de equipos ejecutan Java. Los usuarios de Mac son particularmente vulnerables, dijo Gowdiak, ya que Java 7 llega pre-instalado en Mac OS X 10.6 y anteriores, además de que se encuentra habilitado por defecto.
“Este error tiene el mayor impacto entre los 50 problemas de seguridad que hemos descubierto como parte de nuestro trabajo de investigación de seguridad en Java SE”, agregó.
Gowdiak aconseja a los usuarios desactivar el plug-in de Java en su navegador web hasta que Oracle libere los parches de seguridad, previstos para el 16 de octubre. No está claro si las correcciones se ocuparán de este último defecto.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.