Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/09/2012
Alerten d'una vulnerabilitat greu a Java
S’ha informat sobre una vulnerabilitat crítica a Java que afecta les versions 5,6 i 7.Adam Gowdiak de Security-explorations ha publicat en Seclist.org un avís del descobriment d’una vulnerabilitat en les últimes versions de Java SE. El problema residix en la possibilitat d’eludir la protecció de l’entorn d’execució controlat (SandBox) de la Java Virtual Machine (JVM).
Segons informa Adam Gowdiak, han enviat a Oracle l’informe corresponent, així com una prova de concepte de l’explotació, per la qual cosa no hauria de tardar a estar disponible l’actualització de seguretat corresponent.
Impacte
L’explotació d’esta vulnerabilitat podria suposar l’execució de codi en el sistema afectat.
Segons l’autor, s’ha comprovat que són vulnerables les versions:
- Java SE 5 Update 22 (build 1.5.0_22-b03)
- Java SE 6 Update 35 (build 1.6.0_35-b10)
- Java SE 7 Update 7 (build 1.7.0_07-b10)
Les proves van ser realitzades en un sistema Windows 7 32 bits completament actualitzat, i amb els següents navegadors:
- Firefox 15.0.1
- Google Chrome 21.0.1180.89
- Internet Explorer 9.0.8112.16421 (update 9.0.10)
- Opera 12.02 (build 1578)
- Safari 5.1.7 (7534.57.2)
None
Solució:Actualment no hi ha més informació de la vulnerabilitat, ni actualització de seguretat per a ella, per la qual cosa l’única mesura de protecció que es pot aplicar és no utilitzar Java en la mesura que siga possible, deshabilitant-la si no és imprescindible el seu ús. En cas de no poder desactivar-la, cal prendre precaucions, sobretot en llocs web no confiables, així com enllaços que es reben per correu o missatgeria instantània.
També s’aconsella utilitzar navegadors o complements per al navegador que avisen de l’ús d’este tipus de tecnologies i permeten bloquejar-les.
Notes:SECLIST.ORG: Critical security issue affecting Java SE 5/6/7