Una nueva y grave vulnerabilidad en Java Runtime Environment 1.7x incluyendo la ultima versión 7 update 6 la cual permite a un atacante la ejecución de código completamente inadvertido por el usuario de un equipo descargando software malicioso en el sistema operativo de este sin la intervención del mismo. Para lograrlo el atacante solo le hace falta que el usuario haga clic en un enlace malicioso especialmente preparado para infectar el sistema.

Lo grave de esta vulnerabilidad, es que la misma empeora la situación sobre el software de Java al comprobarse que la compañía Oracle no ha lanzado ni tiene previsto lanzar una actualización de seguridad que la solucione.

En el blog de ESET Latinoamérica escriben que la próxima ronda de actualizaciones del software de Java está prevista para el 16 de Octubre, y si Oracle ante la gravedad de la vulnerabilidad, se decidiera a lanzar un parche fuera de ciclo, el mismo se tardaría unos días, tiempo más que suficiente para infectar millones de máquinas.

Se ha comprobado hasta el momento que la única rama afectada del software de Java por esta vulnerabilidad es la mas reciente versión, la 1.7, y no están afectadas las versiones 1.6 y anteriores (es bueno aclarar que estas versiones tienen sus propias vulnerabilidades). Inicialmente al principio se pensó que esta vulnerabilidad afectaba únicamente a los sistemas operativos Windows, pero varios investigadores han comprobado que también funciona en sistemas operativos Linux (específicamente con el navegador Mozilla Firefox corriendo en Ubuntu) y también en Mac (con el navegador Safari corriendo en Mac OS X 10.7.4) por lo que estamos ante una nueva amenaza multiplataforma.

Desde el blog de ESET Latinoamérica ante esta situación escriben lo siguiente: “De momento y debido a la ausencia de un parche de seguridad, la única recomendación posible (por muy extrema que parezca) es desactivar Java por completo en todos los navegadores que usemos. Tanto nuestros compañeros del blog de seguridad Security by Default como la Oficina de Seguridad del Internauta ya han publicado los pasos necesarios para desactivar Java, pasos que pasamos a reproducir a continuación:

Desactivar Java en el navegador Internet Explorer
1.- Acceda al menú Herramientas > Opciones de Internet
2.- Pestaña Programas > Administrar complementos
3.- Seleccione la opción de mostrar Todos los complementos > Seleccione Java Plug-in 1.7
4.- Pulse sobre el botón Deshabilitar y cierre la ventana

Desactivar Java en el navegador Mozilla Firefox
1.- Acceda al menú Herramientas > Complementos
2.- Acceda al apartado de Plugins
3.- Seleccione todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)
4.- Pulse sobre el botón Desactivar

Desactivar Java en el navegador Google Chrome
1.- Escriba “chrome://plugins/” en la barra de direcciones del navegador para acceder al menú de plugins.
2.- Busque el plugin de Java y pulse sobre Inhabilitar

Desactivar Java en el navegador Safari
1.- Acceda al menú Preferencias > Apartado “Seguridad”
2.- Desmarque la opción “Permitir Java”

Desactivar Java en el navegador Opera:

1.- Escriba “opera:plugins” en la barra de direcciones del navegador para acceder a la lista de plugins.

2.- Busque el de Java y desactívelo.

Ahora bien si lo quiere descativar por completo en el sistema operativo Windows tiene que hacer lo siguiente:

Vaya al Panel de Control (Control Panel), y entre a la aplicación Java. Al hacerlo, le aparecerá una ventana con los ajustes de Java RE. En esta ventana entre a la pestaña Java y haga clic en el botón Ver (View). Aquí Usted vera las versiones de Java instaladas en su computadora y allí seleccione la que diga Java 1.7 para desactivarla.

Desde ESET agregan que: “Con estas medidas evitaremos que se instale malware en nuestro sistema si pulsamos por accidente en un enlace malicioso preparado por un atacante que se esté aprovechando de esta vulnerabilidad. Pueden parecer medidas drásticas pero viendo la gravedad de esta vulnerabilidad 0-day, y sabiendo que ya ha sido incorporado un módulo en el conocido framework Metasploit, es mejor tomar todas las precauciones posibles ante la avalancha de malware que aprovecha esta vulnerabilidad que se nos viene encima”.

Según informan desde el blog de ESET Latinoamérica, los primeros indicios indican que esta vulnerabilidad ha sido utilizada para propagar un troyano detectado por ESET NOD32 Antivirus como Win32/Poison.NHM. Además, el applet malicioso es detectado mediante una firma genérica como Java/Exploit.Agent.NDE. Como no existe actualmente un parche para esta vulnerabilidad, se recomienda que sea muy cuidadoso con los sitios y enlaces que visita. Por parte de Oracle sino hay una excepción, la próxima actualización de Java está programada para el próximo 16 de octubre. Se espera que por la seguridad de todos los usuarios de este software, así sea.

Para aquellos usuarios que necesiten ejecutar aplicaciones Java y no sea una opción válida deshabilitarlo, es posible descargar e instalar un parche no oficial desarrollado por Deep End Research el cual lo pueden obtener desde este enlace.

Java 7 Zero Day Buster
por Michael ‘mihi’ Schierl, http://schierlm.users.sourceforge.net/ < schierlm en gmx.de >,

Para utilizar este parche primero descomprima el archivo que viene en formato .zip, luego localice la carpeta (jre /) lib/security en su JDK/JRE (debe haber un
archivo llamado cacerts en ella), cree una carpeta (endorsed) en (jre /)lib/ y coloque el archivo descomprimido en su interior.

La máquina virtual de Java carga todos los archivos JAR en esta carpeta y remplaza cualquiera de sus propias clases de ejecución (de rt.jar) por. class files (archivos de clase) en el interior de estos recipientes. Tenga en cuenta que esta característica no está oficialmente soportado por Sun / Oracle excepto para la actualización de las bibliotecas XML parser, pero parece que funciona.

Use este Jar sólo para Java 7 update 0 a la 6, como otras versiones pueden tener una versión diferente de parcheado puede ocasionar problemas. El parche parece bloquear correctamente el vector de acceso utilizado por el 0 day que esta circulando en este momento, pero el autor no es responsable que se solucione de todas maneras que este fallo pueda ser explotado, ni que no romperá cualquier otros programas Java existentes.

Si usted tiene Java instalado en su sistema operativo y quiere comprobar si el mismo es vulnerable a esta vulnerabilidad puede hacer clic en este enlace.

En diciembre del año 2011, el experto en seguridad informática Mikko Hypponen recomendó desinstalar Java definitivamente.

Traducción: Velcro

Fuentes:

diarioti.com

deependresearch.org/