Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/04/2013
Nova fallada de seguretat a Java permet evadir la sandbox
Es torna a publicar una vulnerabilitat de Java, uns pocs dies després de l’última actualització de seguretat per part d’Oracle.Adam Gowdiak, que s’ha fet conegut per trobar vulnerabilitats en Java, ha reportat una nova vulnerabilitat que afecta totes les versions de Java 7, inclosa l’última publicada fa pocs dies arran del butlletí de seguretat trimestral d’Oracle.
El problema residix, una vegada més, en l’API Reflection, i permet als atacants botar la sandbox i accedir directament al sistema operatiu sobre el qual s’executa l’aplicació. Gowdiak no ha publicat més detalls sobre la vulnerabilitat per a donar a Oracle temps per a solucionar el problema i publicar un pedaç. Açò significa que actualment hi ha 3 vulnerabilitats descobertes per Gowdiak que encara no s’han solucionat (problemes 54, 56 i 61 segons la numeració del mateix investigador).
Perquè l’atac siga efectiu, la víctima ha d’acceptar l’avís de seguretat, ara obligatori, que indica que una miniaplicació serà executada en una web. Açò fa que els atacs completament automàtics no siguen ara possibles.
La versió de servidor també és vulnerable, segons l’investigador. Sobre com introduir el codi maliciós en la màquina virtual Java del servidor, Gowdiak apunta a la guia d'Oracle sobre com protegir-se contra els atacs d’injecció de codi en Java.
Sistemes Afectats:Totes les versions de Java 7, fins la 1.7.0_21-b11.
Referències:None
Solució:Encara no s’ha publicat una solució sobre això.
Notes:The H Online
Full Disclosure Mailing List