CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

27/09/2012

Alertan de una vulnerabilidad grave en Java

Se ha informado sobre una vulnerabilidad crítica en Java que afecta a las versiones 5,6 y 7.

Riesgo: Crítico

Adam Gowdiak de Security-explorations  ha publicado en Seclist.org un aviso del descubrimiento de una vulnerabilidad en las últimas versiones de Java SE. El problema reside en la posibilidad de eludir la protección del entorno de ejecución controlado (SandBox) de laJava Virtual Machine (JVM).

Según informa Adam Gowdiak, han enviado a Oracle el informe correspondiente, así como una prueba de concepto de la explotación, por lo que no debería tardar en estar disponible la actualización de seguridad correspondiente.

Impacto

La explotación de esta vulnerabilidad podría suponer la ejecución de código en el sistema afectado.

Sistemas Afectados:

Según el autor, se ha comprobado que son vulnerables las versiones:

Las pruebas fueron realizadas en un sistema Windows 7 32 bits completamente actualizado, y con los siguientes navegadores:

Referencias:

None

Solución:

Actualmente no hay más información de la vulnerabilidad, ni actualización de seguridad para ella, por lo que la única medida de protección que se puede aplicar es no utilizar Java en la medida de lo posible, deshabilitándolo si no es imprescindible su uso. En caso de no poder desactivarlo, hay que tomar precauciones, sobre todo en sitios Web no confiables así como enlaces que se reciban por correo o mensajería instantánea.

También se aconseja utilizar navegadores o complementos para el navegador que avisen del uso de este tipo de tecnologías y permitan bloquearlas.

Notas:

SECLIST.ORG: Critical security issue affecting Java SE 5/6/7 

Fuente: Inteco-CERT

CSIRT-CV