Nuevas vulnerabilidades descubiertas en Java tras el Update 11

Escrito por José Castilla
Programación

El 14 de este mismo mes de Enero, Oracle lanzaba la actualización Java Update 11. Según la propia firma, el update corregía el agujero de seguridad encontrado días atrás en su producto. Investigadores en el campo de la seguridad afirman haber vuelto a encontrar dos vulnerabilidades las cuales pueden ser explotadas para eludir la sandbox y de esta forma ejecutar código arbitrario en los equipos. Todo parece apuntar que aún con el parche instalado el producto de Oracle sigue siendo vulnerable a nuevos ataques. Ofrecemos más detalles a continuación.

El producto de Oracle está instalado en millones de ordenadores y dispositivos. De esta forma los piratas informáticos al aprovechar uno de estos productos como Java o Adobe Reader, se aseguran de que se propague rápidamente a través de ellos. Una firma que investiga los agujeros de seguridad con sede en Polonia, afirman haber encontrado dos nuevas vulnerabilidades en la actualización lanzada hace una semana, la cual debía corregir el problema encontrado días atrás, Java Update 11, las cuales pueden ser explotadas para eludir la sandbox y ejecutar código arbitrario en los equipos de los usuarios.

Los investigadores de los nuevos agujeros descubiertos no han querido dar más detalles públicamente sobre los mismos, para según ellos mismos dar tiempo a Oracle a que reaccione y de esta forma poder solucionar el problema liberando un parche lo antes posible. Las vulnerabilidades fueron reportadas a través de un mensaje a los desarrolladores del producto este mismo Viernes, junto con el código del exploit encontrado, por lo que Oracle ya es consciente del problema.

Tales agujeros de seguridad encontrados ahora son independientes (distintos) a la vulnerabilidad encontrada en Java y no resuelta que comprometía la seguridad de todos los sistemas en que el producto se encontraba instalado. Recordemos que con el parche liberado hace apenas una semana y según la firma que lo desarrolla, se solucionaba el problema descubierto días atrás, pero más tarde algunos expertos en seguridad descubrieron que con el Update 11 no se protegía totalmente los PCs de los ataques informáticos e incluso uno de ellos afirmó en su momento que a Oracle todavía le podía costar dos años solucionar todos los problemas encontrados en su producto. Parece ser y por lo visto hasta ahora, acertó.

Por otra parte, el fundador de la compañía que ha descubierto tales vulnerabilidades, Adam Gowdiak, dice que el hecho de que Java Update 11 pida confirmación al usuario lanzando una ventana de aviso antes de ejecutar un applet o aplicación web en Java que no estén firmados, es de momento el camino correcto, ya que podría bloquear muchos de los ataques.

Desde SOFTzone os seguiremos informando de las novedades al respecto.

Vías: pcworld, seclists.org

Compártelo. ¡Gracias!
Continúa leyendo

Comentarios

14 comentarios
  1. pit 21 Ene, 13 11:44

    esta noticia esta atrasada la noticia de la venta del exploit es de principios de la pasada semana

    0
    1. Josefina 21 Ene, 13 13:29

      LA NOTICIA NO ES ATRASADA, ESTÁ VIGENTE, ORACLE SACÓ UN PARCHE CON VULNERABILIDADES, AYER DESINSTALÉ JAVA, MI PC ESTABA AFECTADA, CUANDO ME DI CUENTA YA ERA TARDE. AL DIA DE HOY 21-1-2013 EL PROBLEMA CONTINÚA CON ORACLE

      0
  2. Searcher 21 Ene, 13 11:59

    actualizen la noticia, esta nueva “supuesta” vulnerabilidad no es tal, ya que ahora Java pregunta por permisos al usuario antes de ejecutare cualquier applet de Java, incluyendo los que tienen firma digital.

    por lo que es imposible infectarse con algo, escepto que el usuario sea muy estupido y acepte un applet desconocido a pesar de ver la alerta en pantalla.

    0
    1. yo 21 Ene, 13 12:21

      Java ahora pregunta antes de ejecutar un applet simplemente porque elevaron el nivel de seguridad por defecto de “Medio” a “Alto”. Esto ya lo podías hacer antes de forma manual desde el panel de java. Antes por defecto estaba en “Medio”, ahora por defecto lo pusieron en “Alto” y tú cuando quieras puedes cambiarlo para ponerlo incluso en “Muy alto” o “bajo” si eres un kamikaze.

      Así que sí, esta es una nueva vulnerabilidad, básicamente porque se salta la sandbox y la sandbox no debería poder saltarse bajo ninguna circunstancia, pregunte o no pregunte.

      Decir que porque pregunta, esto no es una vulnerabilidad, es como decir que dado que yo lo tengo desinstalado, esta no es una vulnerabilidad.

      0
      1. Searcher 22 Ene, 13 3:21

        estube leyendo la vulnerabilidad (en la CVE), y no se salta la sandbox, si no es que el mismo usuario el que cae el juego de ejecutar el applet y darle paso a privilegios.

        por lo tanto no hay vulnerabilidad tal, si no usuarios que caen en la frase “la curiosidad mato al gato”

        digamos usuarios inexpertos o extremandamente curiosos que instalan un applet sin tener idea de lo que es, y a pesar de ver una ventana gigante de alerta que se muestra antes de ejecutarlo.

        0
        1. yo 22 Ene, 13 17:43

          No es lo que yo leo:

          “We have successfully confirmed that a complete Java security
          sandbox bypass can be still gained under the recent version
          of Java 7 Update 11 [1] (JRE version 1.7.0_11-b21).”

          y

          “lo dice Adam Gowniak, el CEO de Security Explorations, que ha descubierto 49 vulnerabilidades en Java durante 2012. En un mensaje a la lista de correo Full Disclosure, asegura que se han encontrado dos nuevas vulnerabilidades que permiten el salto de la sandbox en la última versión de Java. Identificadas como fallos 51 y 52”

          http://unaaldia.hispasec.com/2013/01/tres-titulares-tras-el-parche-de-java.html

          Saltarse la sandbox no es que el usuario le dé paso.

          0
          1. Searcher 23 Ene, 13 13:09

            lo mismo, para explotar los fallos 51 y 52, se requiere que usuario confirme e instale un applet manualmente, el cual luego escala privilegios.

            asi que volvemos a lo mismo, estando con el Update 11 estas seguro, siempre y cuando no instales un applet desconocido.

            0
          2. yo 23 Ene, 13 14:31

            Vale, el usuario debe confirmar y ejecutar un applet, hasta aquí todo correcto.

            Lo que yo te digo es que si ese applet después puede escalar privilegios, java tiene un fallo de seguridad.

            No se puede permitir una escalada de privilegios por mucho que el usuario acepte ese applet. El applet puede estar en una página de confianza que ha sido hackeada, tú confías en la página y lo aceptas.

            Decir que java es seguro porque el usuario debe aceptar el applet, es como decir que en windows estás seguro ante una escalada de privilegios si no instalas nada. Joder, pero es que esa escalada de privilegios no debería existir, es un bug.

            Y añado, entonces java 10 también es seguro y java 9 y prácticamente todas las versiones son seguras, tan sólo tienes que cambiar el nivel de seguridad a “alto” que también se puede tal como se hizo por defecto en la v11, o directamente desactivarlo, así será a prueba de todo.

            0
  3. José C A 21 Ene, 13 16:23

    La noticia es correcta y es de esta mañana mismo. La vulnerabilidad ha sido descubierta hace apenas un dia.

    0
  4. pepe 24 Ene, 13 5:07

    Como se vino a bajo JAVA!!!!
    Pensar que antes eran tan buenos sus productos
    Estara por desaparecer?? ya que a GOOGLE no le interesa esta compañia???

    0
  5. Anónimo 18 Abr, 16 14:52

    Well done to think of sonhmeitg like that

    0
  6. Anónimo 18 Abr, 16 16:18

    At last, somonee who knows where to find the beef

    0
  7. Anónimo 18 Abr, 16 21:20

    That’s a knowing answer to a dicuffilt question

    0