Nueva vulnerabilidad en Java 7 (cliente y servidor)

abril 23, 2013 § Deja un comentario

Se ha publicado nuevo informe sobre una nueva vulnerabilidad en Java 7, además de una prueba de concepto (PoC).

El nuevo fallo afecta a todas las versiones de Java SE 7, incluyendo la recientemente lanzada versión 1.7.0_21-b11. La vulnerabilidad puede ser utilizada para lograr pasar completamente la seguridad de Java sandbox y por lo tanto acceder al sistema destino. La explotación con éxito en un navegador web requiere linteracción con el usuario adecuado.

Lo que es más interesante es que esta nueva vulnerabilidad está presente en JRE/JDK y también en el recientemente anunciado Server JRE. Quienes se preocupan por la viabilidad de la explotación en un entorno de servidor pueden consultar la Sessión 3-8 de “Instrucciones de codificación segura para una aplicación Java”.

Los componentes y API potencialmente propensas a la ejecución de código no confiable son:

  • Implementación del intérprete XSLT,
  • La persistencia a largo plazo de los componentes JavaBeans,
  • RMI y LDAP (RFC 2713),
  • Muchas implementaciones de SQL.

En abril 2012, Adam Gowdiak de Security-Explorations informó sobre la vulnerabilidad a Oracle Corporation señalando los múltiples problemas de seguridad en Java SE 7 y en la Reflection API. Luego de un año de espera se decidió hacerlo público.

Por este y muchos otros motivos seguimos recomendando a los usuarios desactivar o desinstalar Java en el navegador.

Cristian de la Redacción de Segu-Info

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Nueva vulnerabilidad en Java 7 (cliente y servidor) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: