La nueva vulnerabilidad permite un escape completo del sandbox de la Maquina Virtual de Java en Java 7 Update 7, dicen los investigadores de Security Explorations.

Investigadores de seguridad de Security Explorations basada en Polonia afirman haber descubierto una vulnerabilidad en la actualización de seguridad de Java 7 Update 7 publicado el jueves de la pasada semana que pueden ser explotadas para escapar del sandbox de Java y ejecutar código arbitrario en el sistema subyacente.

Security Explorations envio un informe acerca de la vulnerabilidad a Oracle el viernes junto a una prueba de concepto del exploit, dijo el viernes vía correo electrónico Adam Gowdiak, fundador y CEO de la empresa de seguridad.

La empresa no planea liberar cualquier detalles técnicos acerca de la vulnerabilidad públicamente hasta que Oracle lo aborde, dijo Gowdiak.

Oracle rompió su ciclo regular de parcheo de cuatro meses el jueves para lanzar Java 7 Update 7, una actualización de seguridad de emergencia dirigida a resolver tres vulnerabilidades, incluyendo dos que estaban siendo explotadas para infectar computadoras con malware desde la pasada semana.

Java 7 Update 7 también corrigió un “problema de seguridad en profundidad” que, según Oracle, no fue directamente explotable, pero podría haberse utilizado para agravar el impacto de otras vulnerabilidades.

El parcheo de la “cuestión de seguridad en profundidad,” que Gowdiak llama un “vector de explotación”, que representa toda la seguridad de prueba de concepto (PoC) de Java Virtual Machine (JVM) con exploits de derivación de seguridad previamente presentados por la firma de seguridad polaca a Oracle, es ineficaz.

Según Gowdiak, Security Explorations informó en forma privada 29 vulnerabilidades en Java 7 a Oracle en abril (enlace a noticia en inglés; privately reported 29 vulnerabilities in Java 7 to Oracle back in April), incluidas las dos que ahora son explotadas activamente por atacantes.

Los informes fueron acompañados por un total de 16 ataques de prueba de concepto que combina esas vulnerabilidades para completamente omitir el sandbox de Java y ejecutar código arbitrario en el sistema subyacente.

La eliminación de getField y getMethod, los métodos de la implementación de la clase sun.awt.SunToolkit en Java 7 Update 7 desactiva todos los exploits PoC de Security Explorations, dijo Gowdiak.

Sin embargo, esto sólo sucedió porque se quitó el “vector de explotación”, no porque fueron parcheadas las vulnerabilidades específicas de los exploits, dijo Gowdiak.

La nueva vulnerabilidad descubierta por Security Explorations en Java 7 Update 7 puede combinarse con algunas de las vulnerabilidades dejadas de parchear por Oracle para lograr nuevamente una derivación del sanbox de Java Virtual Machine.

“Una vez que nos encontramos que nuestro completo códigos de derivación del sandbox de Java dejó de funcionar después de que se aplicó la actualización, miramos nuevamente los códigos POC y comenzamos a pensar en las posibles formas de cómo romper completamente la actualización más reciente de Java otra vez”, dijo Gowdiak. “Llegó una nueva idea, se verificó y resultó que esa era”.

Gowdiak no sabe cuando Oracle planea abordar las vulnerabilidades restantes reportadas por Security Explorations en Abril o la nueva enviado por la empresa de seguridad el viernes pasado.

No está claro si Oracle lanzará una nueva actualización de seguridad de Java en octubre como había previsto. Oracle se negó a comentar.

Los investigadores de seguridad siempre han advertido que si los vendedores toman demasiado tiempo para resolver una vulnerabilidad reportada podría ser descubierto por los chicos malos, mientras tanto, si no la saben ya.

Ha sucedido en varias ocasiones que cazadores de bug diferentes descubren la misma vulnerabilidad en el mismo producto de forma independiente, y esto es lo que podría haber ocurrido también en el caso de las dos vulnerabilidades de Java activamente explotadas que fueron abordadas por Java 7 Update 7.

“Descubrimientos independientes nunca pueden ser excluidos,” dijo Gowdiak. “Esta cuestión específica [la nueva vulnerabilidad] podría ser sin embargo un poco más difícil de encontrar.”

Basado en la experiencia de los investigadores de Security Explorations con la caza en busca de vulnerabilidades de Java hasta ahora, Java 6 tiene mayor seguridad que Java 7. “Java 7 fue sorprendentemente mucho más fácil para nosotros de romper”, dijo Gowdiak. “Para Java 6, no logramos llegar a un compromiso completo del sandbox, excepto el problema descubierto en Apple Quicktime para Java software”.

Gowdiak se ha hecho eco de lo que muchos investigadores de seguridad han dicho antes: Si no necesita Java, desinstálelo de su sistema.

Traducción: Velcro

Fuente: PCWorld

Anuncios