Nueva vulnerabilidad en Java 7 (cliente y servidor).


Se ha publicado nuevo informe sobre una nueva vulnerabilidad en Java 7, además de una prueba de concepto (PoC).

El nuevo fallo afecta a todas las versiones de Java SE 7, incluyendo la recientemente lanzada versión 1.7.0_21-b11. La vulnerabilidad puede ser utilizada para lograr pasar completamente la seguridad de Java sandbox y por lo tanto acceder al sistema destino. La explotación con éxito en un navegador web requiere linteracción con el usuario adecuado.

Lo que es más interesante es que esta nueva vulnerabilidad está presente en JRE/JDK y también en el recientemente anunciado Server JRE. Quienes se preocupan por la viabilidad de la explotación en un entorno de servidor pueden consultar la Sessión 3-8 de "Instrucciones de codificación segura para una aplicación Java".

Los componentes y API potencialmente propensas a la ejecución de código no confiable son:

  • Implementación del intérprete XSLT,
  • La persistencia a largo plazo de los componentes JavaBeans,
  • RMI y LDAP (RFC 2713),
  • Muchas implementaciones de SQL.
En abril 2012, Adam Gowdiak de Security-Explorations informó sobre la vulnerabilidad a Oracle Corporation señalando los múltiples problemas de seguridad en Java SE 7 y en la Reflection API. Luego de un año de espera se decidió hacerlo público.

Por este y muchos otros motivos seguimos recomendando a los usuarios desactivar o desinstalar Java en el navegador.

No hay comentarios:

Publicar un comentario