Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/01/2013
Grave vulnerabilidad 0-day en la última versión de Java
El fallo se salta todas las restricciones de seguridad de Java y permitiría comprometer por completo la seguridad de un equipo.El pasado día 10 de enero de 2013 se hizo pública una vulnerabilidad en el JRE de Oracle, que afecta a todas las versiones de Java en su versión 7. El exploit que aprovecha esta vulnerabilidad también es público, y varios portales especializados han confirmado que el fallo de seguridad ya estaba siendo utilizado por criminales con kits de creación de malware.
El simple hecho de navegar por una página con el código malicioso incluido, y con el plug-in de Java del navegador activado, es suficiente para que la seguridad del equipo quede comprometido. La legitimidad de una web de confianza no es suficiente para asegurarse de que no vaya a contener código malicioso, puesto que una práctica muy común de los delincuentes es intentar comprometer la seguridad de páginas web para inyectar su malware, sin que los administradores de sistema tengan noticia de ello.
Actualmente Oracle no ha publicado todavía ninguna actualización que solucione el problema de seguridad, por lo que hasta que esto suceda, CSIRT-cv recomienda encarecidamente deshabilitar el plug-in de Java de sus navegadores.
Sistemas Afectados:Java 7 en todas sus versiones
Referencias:CVE-2013-0422
Solución:Por ahora no existe parche, por lo que se recomienda deshabilitar el plug-in de Java
Notas: