Centro de Seguridad TIC de la Comunitat Valenciana
Inicio » Alertas » Ejecución de código en Java Calendar de Mac OS X
[   Castellano   |   Valencià   ]  

listado en truested introducer

Buscar


  • WWW csirtcv.es

ÚLTIMAS ALERTAS

RSS FEED

Más...

Autoritat de Certificació de la Comunitat Valenciana
Plan Avanza
Logo Avantic
Bandera de europa Feder
Sombra del menu
Sombra del menu
Anterior
Suscribirse a las alertas del CSIRTCV   Suscribirse a los boletines del CSIRTCV   Acceso al Foro   Acceso a los cursos de formación   RSS   Versión para imprimir
  Siguiente

Ejecución de código en Java Calendar de Mac OS X

22-05-2009

Detectada una vulnerabilidad en Mac OS X, que podría ser utilizada por atacantes para comprometer la seguridad de un sistema afectado.

Sistema operativo:

Mac OS X versiones 10.x
Mac OS X Server versiones 10.x

Riesgo:   Alto

Descripción:

La vulnerabilidad está causada por un error en la "deserialización" de objetos Calendar en Java para Mac OS X. Este fallo podría ser explotado para escapar del entorno "sandbox" de Java y ejecutar código arbitrario, por ejemplo cuando un usuario visita una página web que contenga un applet Java modificado maliciosamente.

El problema está relacionado con la debilidad #14 del siguiente aviso de seguridad de Secunia: SA32991

La vulnerabilidad ha sido confirmada en Mac OS X 10.5.7, pero no se descarta que otras versiones se hayan visto afectadas.

Solución:

Deshabilitar el soporte Java en el navegador y no ejecutar programas Java provenientes de fuentes no confiables.

Referencias:

CVE-2008-5353

Más información:

Landon Fuller:
http://landonf.bikemonkey.org/code/macosx/CVE-2008-5353.20090519.html

Julien Tinnes:
http://blog.cr0.org/2009/05/write-once-own-everyone.html

Secunia:
http://secunia.com/advisories/35118/
http://secunia.com/advisories/32991/

Fuente:   Secunia www.secunia.com

Valid XHTML 1.0 Transitional Valid CSS Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI