Cinco nuevas vulnerabilidades descubiertas en Java 7 Update 15 por Security Explorations

Escrito por José Castilla
Programación
2

Otras cinco nuevas vulnerabilidades han sido descubiertas en Java. Los expertos de la empresa de seguridad polaca Security Explorations, los cuales ya descubrieron otros dos posibles agujeros de seguridad zero-day el pasado día 1 de Marzo y que nosotros ofrecimos información en ese momento a través de estas páginas, lo han vuelto a hacer. Esta vez, han identificado cinco vulnerabilidades en Java SE Update 15, que al combinarse pueden ser aprovechadas y evitar el entorno de seguridad. Más detalles a continuación.

Corren malos tiempos para la empresa Oracle. Nuevamente la compañía propiedad de Larry Ellison, Java, está tratando de limpiar su imagen ya que las malas noticias vuelven y llueve para ellos sobre mojado. Esta vez, los expertos de la empresa de seguridad Security Explorations, han identificado otras cinco nuevas vulnerabilidades en Java SE Update 15, las cuales al combinarse pueden ser aprovechadas para lograr una evitación completa del entorno de seguridad. Recordamos a todos nuestros lectores, que esta empresa ya identificó a principios de este mismo mes otras dos posibles nuevas vulnerabilidades zero-day catalogadas con los números 54 y 55 y que fueron descubiertas entre los días 27 y 28 de Febrero por Security Explorations, dando en ese momento parte a Oracle el cual investigó el asunto.

Descubiertas mientras buscaban pruebas de los anteriores agujeros de seguridad

Los nuevos agujeros de seguridad encontrados por la compañía Security Explorations, fueron descubiertos por los expertos investigadores de la empresa de seguridad que da título a esta noticia, cuando intentaban descubrir nuevas pruebas para demostrar a Oracle que el polémico “Issue 54″ descubierto por ellos en Febrero de este mismo año, es un agujero de seguridad real y mostrárselas a Oracle para de ésta forma demostrar su hallazgo.

Detalles de las vulnerabilidades en un correo electrónico

Más tarde, en un correo electrónico que el director ejecutivo de Security Explorations Adam Gowdiak, envió, indicaba que dos de los errores descubiertos recientemente, los cuales se trataban de los números 59 y 60 podrían afectar a Java SE 6, aunque no se ha podido comprobar en este momento debido al estado de Java SE 6 EOL (también recordamos que Oracle amplió la duración de Java SE 6 OEL por otros 4 meses dando más tiempo a los usuarios para la transición al Update JDK 7, extendiendo la duración del mismo a Febrero del 2013). Aunque, seguía en el mismo correo, dado que todas las vulnerabilidades deben combinarse para comprobar una violación de seguridad exitosa de Java SE, se consideró en ese momento que sólo afectaba a Java SE 7.

El ataque descubierto ahora, (prosigue el director ejecutivo de Security Explorations, en el mismo correo electrónico) rompe dos controles de seguridad introducidos en Java SE por Oracle en los meses recientes (se trata de Issue 57 y Issue 58). Este mismo ataque, también explota fragmentos de código los cuales no son detectados por los controles de seguridad adecuados (Issue 59 y Issue 60) para acabar finalmente demostrando una diferencia entre la especificación de JVM y su aplicación (Issue 56).

Hace una semana, Oracle no quiso admitir que uno de los errores el cual explotaba un exploit de Java era un agujero de seguridad. Para ello explicó que el Issue 54 tenía un “comportamiento permitido”, (suponemos que Oracle con esto quería decir, que el error tenía un comportamiento dentro de lo aceptado o dentro de lo normal).

¿Oracle se contradice o se equivoca?

Security Explorations, comenta, que ellos confirman, que la descripción en un principio por parte de Oracle para el Issue 54, el cual la compañía Oracle calificó como un “comportamiento permitido”, contradice tanto la documentación de Java SE como las comprobaciones de seguridad existentes en tal código. Con estas palabras de Security Explorations se puede dar por hecho que quieren que Oracle trate el Issue 54 como una amenaza real y no como algo dentro de lo permitido, (también podrían cambiar los documentos o flexibilizar los controles de seguridad existentes, tal como indica Adam Gowdiak).

En el momento de redactar esta noticia hemos podido comprobar que Oracle ha lanzado una actualización hace unas horas con el número y nombre Java Update 17 7, la cual ya está disponible para su descarga.

¿Solucionará Oracle con esta nueva actualización algunos de los agujeros de seguridad?. Según la fuente, la compañía confirma que ya ha recibido los informes de Security Explorations, pero queda aún por ver si está conforme y de acuerdo con ellos.

Por otra parte, Security Explorations ya ha dicho que si Oracle no cambia de opinión publicará los detalles del fallo próximamente (según dicen en el próximo período).

Vía: Softpedia

oracle

Compártelo. ¡Gracias!