Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

29/08/2013

Grave vulnerabilidad sin parche para Java 6

¿Tienes Java 6 instalado? Oracle dio por finalizado el soporte público para Java versión 6 el pasado febrero. Las versiones públicas de Java poseen un soporte de tres años. Pasado ese tiempo solo los clientes que tengan una licencia comercial del producto podrán tener acceso a los parches críticos, periodo que se extiende cinco años adicionales.

¿Cual es el problema? Java 6 aun se encuentra instalado en millones de sistemas, no tiene soporte y existe una vulnerabilidad con exploit publicado que se está usando activamente para infectar equipos.

En concreto se trata de la vulnerabilidad etiquetada con el CVE-2013-2463. Un error en el índice de un array al invocar la función nativa 'storeImageArray'. Dicha función pertenece a la capa nativa del paquete AWT (Abstract Widget Toolkit) encargado entre otras cosas del tratamiento de imágenes, un paquete disponible desde la versión 1.0 de Java.

En el exploit, como prueba de concepto, nos va a invocar la calculadora (el hola mundo de los exploits), pero prácticamente deja la puerta abierta a la imaginación.

Esto no es nada nuevo ni es noticia, ya que dicha vulnerabilidad se conoce desde hace meses y está parcheada para Java 7 revisión 25. El exploit sí que se publicó hace relativamente poco, a principios de agosto.

La noticia es que está siendo activamente explotado por varios kits de exploits y no hay ni va a haber parche para Java 6. Al menos para la gran mayoría de usuarios. Esto significa que mantener una versión de Java 7 sin actualizar o tener Java 6 en el sistema y visitar una página infectada significa el compromiso del sistema.

Quizás el verdadero problema se encuentre en aquellas empresas que dependen de la versión 6 de Java para funcionar y aun no hayan realizado la migración (o no puedan permitírselo) a la versión 7. En este caso se deberían extremar las medidas de seguridad oportunas para evitar incidentes y recordar el riesgo que supone mantener activo un producto sin soporte.

Más información y detalles técnicos sobre la vulnerabilidad en Hispasec.

Sistemas Afectados:

Java 6.
Java 7 anterior a revisión 25.

Referencias:

CVE-2013-2463

Solución:

Para Java 7, el problema se parcheó hace meses en la versión 7u25.

Para Java 6, en cambio, no se va a publicar ningún parche, ya que no tiene soporte. Salvo que su uso sea estríctamente necesario por problemas de compatibilidad, se recomienda desinstalarlo o actualizar a la versión 7.

Notas:

Hispasec una-al-dia
public class: BytePackedRaster
Java 6 exploit found in the wild
Oracle Java SE Support Roadmap
Packet Storm Exploit 2013-0811-1 - Oracle Java storeImageArray() Invalid Array Indexing Code Execution

CSIRT-CV