CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/09/2012

Detectan agujero crítico en actualización de Java

Java La empresa polaca de seguridad informática Security Explorations, que inicialmente descubrió diversos agujeros de seguridad en Java SE 7, ha detectado que el parche publicado por Oracle para solucionar el problema también presenta vulnerabilidades.

En un correo electrónico dirigido a la publicación británica The Register, Adam Gowdiak, presidente de Security Explorations, declaró que "El ´bug´ [error de código] está relacionado con otros ´bugs´ que habíamos detectado hace meses y que oportunamente notificamos a Oracle en abril de 2012 (y que aún no han sido parcheados). Su composición hace posible explotarlos nuevamente".

Al igual que en las vulnerabilidades anteriores, el defecto en Java permite a un atacante eludir totalmente el sandbox de seguridad de Java, haciendo posible instalar malware o ejecutar código maligno en los sistemas intervenidos.

Al contrario que las vulnerabilidades anteriores, aún no se detectan ejemplos concretos de explotación de la vulnerabilidad del parche. Sin embargo, en su comunicación con The Register, Gowdiak incluyó un código que demuestra que es perfectamente posible explotar la vulnerabilidad del parche.

Oracle, en tanto, no ha reconocido la existencia de la vulnerabilidad detectada en el parche que acaba de publicar. Sin embargo, acusó recibo del informe elaborado por Security Explorations, limitándose a señalar que estaba analizando la información.

Considerando que Oracle estaba informada desde abril sobre la vulnerabilidad de Java, sin reaccionar, The Register ironiza señalando "Suponiendo que Oracle esté de acuerdo en que la vulnerabilidad existe, la solución que eventualmente presente es materia de adivinanzas".

La próxima actualización programada de Java es el 16 octubre.

Fuente: Diario Ti

CSIRT-CV