Nuevas vulnerabilidades descubiertas en Java tras el Update 11

El 14 de este mismo mes de Enero, Oracle lanzaba la actualización Java Update 11. Según la propia firma, el update corregía el agujero de seguridad encontrado días atrás en su producto. Investigadores en el campo de la seguridad afirman haber vuelto a encontrar dos vulnerabilidades las cuales pueden ser explotadas para eludir la sandbox y de esta forma ejecutar código arbitrario en los equipos. Todo parece apuntar que aún con el parche instalado el producto de Oracle sigue siendo vulnerable a nuevos ataques. Ofrecemos más detalles a continuación.

El producto de Oracle está instalado en millones de ordenadores y dispositivos. De esta forma los piratas informáticos al aprovechar uno de estos productos como Java o Adobe Reader, se aseguran de que se propague rápidamente a través de ellos. Una firma que investiga los agujeros de seguridad con sede en Polonia, afirman haber encontrado dos nuevas vulnerabilidades en la actualización lanzada hace una semana, la cual debía corregir el problema encontrado días atrás, Java Update 11, las cuales pueden ser explotadas para eludir la sandbox y ejecutar código arbitrario en los equipos de los usuarios.

Los investigadores de los nuevos agujeros descubiertos no han querido dar más detalles públicamente sobre los mismos, para según ellos mismos dar tiempo a Oracle a que reaccione y de esta forma poder solucionar el problema liberando un parche lo antes posible. Las vulnerabilidades fueron reportadas a través de un mensaje a los desarrolladores del producto este mismo Viernes, junto con el código del exploit encontrado, por lo que Oracle ya es consciente del problema.

Tales agujeros de seguridad encontrados ahora son independientes (distintos) a la vulnerabilidad encontrada en Java y no resuelta que comprometía la seguridad de todos los sistemas en que el producto se encontraba instalado. Recordemos que con el parche liberado hace apenas una semana y según la firma que lo desarrolla, se solucionaba el problema descubierto días atrás, pero más tarde algunos expertos en seguridad descubrieron que con el Update 11 no se protegía totalmente los PCs de los ataques informáticos e incluso uno de ellos afirmó en su momento que a Oracle todavía le podía costar dos años solucionar todos los problemas encontrados en su producto. Parece ser y por lo visto hasta ahora, acertó.

Por otra parte, el fundador de la compañía que ha descubierto tales vulnerabilidades, Adam Gowdiak, dice que el hecho de que Java Update 11 pida confirmación al usuario lanzando una ventana de aviso antes de ejecutar un applet o aplicación web en Java que no estén firmados, es de momento el camino correcto, ya que podría bloquear muchos de los ataques.

Desde SOFTzone os seguiremos informando de las novedades al respecto.

Vías: pcworld, seclists.org