CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/04/2013

Nuevo fallo de seguridad en Java permite evadir la sandbox

Se vuelve a publicar una vulnerabilidad de Java, unos pocos días después de la última actualización de seguridad por parte de Oracle.

Riesgo: Alto

Adam Gowdiak, que se ha hecho conocido por encontrar vulnerabilidades en Java, ha reportado una nueva vulnerabilidad, que afecta a todas las versiones de Java 7, incluída la última publicada hace pocos días a raíz del boletín de seguridad trimestral de Oracle.

El problema reside, una vez más, en la API Reflection, y permite a los atacantes saltar la sandbox y acceder directamente al sistema operativo sobre el que se ejecuta la aplicación. Gowdiak no ha publicado más detalles sobre la vulnerabilidad para dar a Oracle tiempo para solucionar el problema y publicar un parche. Esto significa que actualmente hay 3 vulnerabilidades descubiertas por Gowdiak que todavía no se han solucionado (problemas 54, 56 y 61 según la numeración del propio investigador).

Para que el ataque sea efectivo, la víctima debe aceptar el aviso de seguridad, ahora obligatorio, que indica que un applet va a ser ejecutado en una web. Esto hace que los ataques completamente automáticos no sean ahora posibles.

La versión de servidor también es vulnerable, según el investigador. Sobre cómo introducir el código malicioso en la máquina virtual Java del servidor, Gowdiak apunta a la guía de Oracle sobre cómo protegerse contra los ataques de inyección de código en Java.

Sistemas Afectados:

Todas las versiones de Java 7, hasta la 1.7.0_21-b11.

Referencias:

None

Solución:

Todavía no se ha publicado una solución al respecto.

Notas:

The H Online
Full Disclosure Mailing List

Fuente: The H Online

CSIRT-CV