Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/09/2012
Detecten forat crític en l'actualització de Java
L’empresa polonesa de seguretat informàtica Security Explorations, que inicialment va descobrir diversos forats de seguretat a Java ES 7, ha detectat que el pedaç publicat per Oracle per a solucionar el problema també presenta vulnerabilitats.
En un correu electrònic dirigit a la publicació britànica The Register, Adam Gowdiak, president de Security Explorations, va declarar que "El bug (error de codi) està relacionat amb altres bugs que havíem detectat fa mesos i que oportunament notifiquem a Oracle a l’abril de 2012 (i que encara no havien sigut apedaçats). La seua composició fa possible explotar-los novament".
Igual que en les vulnerabilitats anteriors, el defecte a Java permet a un atacant eludir totalment el sandbox de seguretat de Java, i fa possible instal·lar programari maliciós o executar codi maligne en els sistemes intervinguts.
Al contrari que les vulnerabilitats anteriors, encara no es detecten exemples concrets d’explotació de la vulnerabilitat del pedaç. No obstant això, en la seua comunicació amb The Register, Gowdiak va incloure un codi que demostra que és perfectament possible explotar la vulnerabilitat del "parche".
Oracle, mentrestant, no ha reconegut l’existència de la vulnerabilitat detectada en el pedaç que acaba de publicar. No obstant això, va acusar la recepció de l’informe elaborat per Security Explorations, i es va limitar a assenyalar que estava analitzant la informació.
Atés que Oracle estava informada des d’abril sobre la vulnerabilitat de Java, sense reaccionar, The Register ironitza assenyalant "Suposant que Oracle estiga d’acord en el fet que la vulnerabilitat existix, la solució que eventualment presente és matèria d’endevinalles".
La pròxima actualització programada de Java és el 16 d'octubre.