Noticias
Un parche para Java introducido en 2013 contiene una vulnerabilidad
Un parche para Java liberado en 2013 se ha mostrado inefectivo, y no solo eso, sino que además permite realizar una derivación (bypass) sobre él fácilmente. Esto significa que la vulnerabilidad puede ser explotada contra PC y servidores que estén usando la última versión de esta tecnología.
La vulnerabilidad tiene como código CVE-2013-5838 en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE), recibiendo una nota de 9,3 en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS). Puede ser explotado de forma remota y sin autenticación, comprometiendo así la confidencialidad, integridad y la disponibilidad del sistema afectado.
Security Explorations, empresa polaca que ha reportado este fallo, comenta que los atacantes pueden explotarla para escapar del sandbox de seguridad de Java. En condiciones normales la Máquina Virtual de Java (JRE) ejecuta el código en su interior, estando debajo de las restricciones de seguridad. Security Explorations ha aportado hasta una prueba de concepto de su propio descubrimiento.
La vulnerabilidad ha podido ser explotada con éxito en Java SE 7 Update 97, Java SE 8 Update 74 y Java SE 9 Early Access Build 108. En resumidas cuentas, todas las versiones con soporte están afectadas, y no hace falta decir lo peligroso que es seguir con versiones anteriores de esta tecnología, ya que no reciben actualizaciones.
La empresa polaca ha informado de que el bug original, descubierto en 2013 y con código CVE-2013-5838, estuvo mal diagnosticado, siendo en un principio descrito como un bug que afectaba a los despliegues de Java a nivel de cliente y que podía ser explotada a través de “aplicaciones Java Web Start y applets de detrás de un sandbox”. El bug también ha sido descubierto en el Google App Engine para Java.
A nivel de cliente, la tecnología que nos ocupa solo permite la ejecución de applets firmados y otros contenidos que forzosamente requieren de hacer clic sobre ellos para reproducirlos, ofreciendo así restricciones de seguridad para evitar ataques silenciosos automatizados.
Para poder explotar esta vulnerabilidad actualmente, los atacantes tendrían que encontrar otro fallo que les permita realizar la derivación en las indicaciones de seguridad o convencer a los usuarios para aprobar la ejecución de alguna applet maliciosa, siendo esta última posibilidad la más probable.
No se sabe si Oracle distribuirá un parche de emergencia para subsanar esta vulnerabilidad o si bien habrá que esperar hasta el próximo parche de actualización crítico, programado para el próximo 19 de abril.
Aprovechamos para recordar que el uso de Java como cliente quedará limitado en la versión 9 de esta tecnología, en la cual el polémico plugin para navegadores quedará descontinuado.
Fuente | CSO