Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/08/2013
Quin és el problema? Java 6 encara està instal·lat en milions de sistemes, no té suport i hi ha una vulnerabilitat amb exploit publicat que s’està usant activament per a infectar equips.
En concret es tracta de la vulnerabilitat etiquetada amb el CVE-2013-2463. Un error en l’índex d’una matriu en invocar la funció nativa “storeImageArray”. Esta funció pertany a la capa nativa del paquet AWT (Abstract Widget Toolkit) encarregat entre altres coses del tractament d’imatges, un paquet disponible des de la versió 1.0 de Java.
L’exploit, com a prova de concepte, ens invoca la calculadora (l’“Hola, món” dels exploits), però pràcticament deixa la porta oberta a la imaginació.
Açò no és res de nou ni és notícia, ja que és una vulnerabilitat que es coneix des de fa mesos i té pegats per a Java 7 revisió 25. L’exploit sí que es va publicar fa relativament poc, a principi d’agost.
La notícia és que l’estan explotat activament diversos kits d’exploits i no hi ha ni hi haurà pegat per a Java 6. Almenys per a la gran majoria d’usuaris. Açò significa que mantindre una versió de Java 7 sense actualitzar o tindre Java 6 en el sistema i visitar una pàgina infectada significa comprometre el sistema.
Potser el problema de veritat el tindran les empreses que depenen de la versió 6 de Java per a funcionar i no hagen realitzat la migració (o no puguen permetre-se-la) a la versió 7. En este cas s’haurien d’extremar les mesures de seguretat oportunes per a evitar incidents i recordar el risc que suposa mantindre actiu un producte sense suport.
Més informació i detalls tècnics sobre la vulnerabilitat en Hispasec.
Sistemes Afectats:
Java 6.
Java 7 anterior a revisión 25.
CVE-2013-2463
Solució:Per a Java 7, el problema es resol amb pegats fa mesos en la versió 7u25.
Per a Java 6, en canvi, no es publicarà cap pegat, ja que no té suport. Llevat que usar-lo siga estrictament necessari per problemes de compatibilitat, es recomana desinstal·lar-lo o actualitzar-lo amb la versió 7.
Notes:Hispasec una-al-dia
public class: BytePackedRaster
Java 6 exploit found in the wild
Oracle Java SE Support Roadmap
Packet Storm Exploit 2013-0811-1 - Oracle Java storeImageArray() Invalid Array Indexing Code Execution