Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/08/2013
Greu vulnerabilitat sense pegat per a Java 6
Tens Java 6 instal·lat? Oracle va donar per finalitzat el suport públic per a Java versió 6 el febrer passat. Les versions públiques de Java tenen un suport de tres anys. Passat eixe temps, només els clients que tinguen una llicència comercial del producte podran tindre accés als pegats crítics, període que s’estén cinc anys addicionals.Quin és el problema? Java 6 encara està instal·lat en milions de sistemes, no té suport i hi ha una vulnerabilitat amb exploit publicat que s’està usant activament per a infectar equips.
En concret es tracta de la vulnerabilitat etiquetada amb el CVE-2013-2463. Un error en l’índex d’una matriu en invocar la funció nativa “storeImageArray”. Esta funció pertany a la capa nativa del paquet AWT (Abstract Widget Toolkit) encarregat entre altres coses del tractament d’imatges, un paquet disponible des de la versió 1.0 de Java.
L’exploit, com a prova de concepte, ens invoca la calculadora (l’“Hola, món” dels exploits), però pràcticament deixa la porta oberta a la imaginació.
Açò no és res de nou ni és notícia, ja que és una vulnerabilitat que es coneix des de fa mesos i té pegats per a Java 7 revisió 25. L’exploit sí que es va publicar fa relativament poc, a principi d’agost.
La notícia és que l’estan explotat activament diversos kits d’exploits i no hi ha ni hi haurà pegat per a Java 6. Almenys per a la gran majoria d’usuaris. Açò significa que mantindre una versió de Java 7 sense actualitzar o tindre Java 6 en el sistema i visitar una pàgina infectada significa comprometre el sistema.
Potser el problema de veritat el tindran les empreses que depenen de la versió 6 de Java per a funcionar i no hagen realitzat la migració (o no puguen permetre-se-la) a la versió 7. En este cas s’haurien d’extremar les mesures de seguretat oportunes per a evitar incidents i recordar el risc que suposa mantindre actiu un producte sense suport.
Més informació i detalls tècnics sobre la vulnerabilitat en Hispasec.
Sistemes Afectats:
Java 6.
Java 7 anterior a revisión 25.
CVE-2013-2463
Solució:Per a Java 7, el problema es resol amb pegats fa mesos en la versió 7u25.
Per a Java 6, en canvi, no es publicarà cap pegat, ja que no té suport. Llevat que usar-lo siga estrictament necessari per problemes de compatibilitat, es recomana desinstal·lar-lo o actualitzar-lo amb la versió 7.
Notes:Hispasec una-al-dia
public class: BytePackedRaster
Java 6 exploit found in the wild
Oracle Java SE Support Roadmap
Packet Storm Exploit 2013-0811-1 - Oracle Java storeImageArray() Invalid Array Indexing Code Execution