El investigador de seguridad polaco Adam Gowdiak de la compañía de seguridad Security Explorations ha encontrado otra vulnerabilidad en Java que podría permitir a un atacante eludir la sandbox. Dio detalles del descubrimiento en un mensaje a la lista de correo de Full Disclosure . El bug recién descubierto es especial por varias razones: este es el problema número 50 descubierto exclusivamente en Java por esta empresa en el año 2012 y por ultimo que permite violar una restriccion  fundamental de seguridad en la maquina virtual de Java. Usando el agujero, Gowdiak ha sido capaz de crear un applet de Java que, al correr en el navegador, puede ejecutarse con los privilegios del usuario y luego introducir el código malicioso en el sistema y ejecutarlo.

Las versiones de Java SE que fueron verificadas son vulnerables son las siguientes:

– Java SE 5 Update 22 (build 1.5.0_22-b03)

– Java SE 6 Update 35 (build 1.6.0_35-b10)

– Java SE 7 Update 7 (build 1.7.0_07-b10)

Todas las pruebas se llevaron a cabo con éxito en el entorno de una computadora con sistema operativo Windows 7 32-bit con todos los parches actualizados y con los navegadores web siguientes:

– Firefox 15.0.1

– Google Chrome 21.0.1180.89

– Internet Expolrer 9.0.8112.16421 (actualización 9.0.10)

– Opera 12.02 (build 1578)

– Safari 5.1.7 (7534.57.2)

Gowdiak había revelado previamente una vulnerabilidad similar en la más reciente versión de Java, Java 7 Update 7. La nueva vulnerabilidad es, sin embargo, capaz de ser explotada en las versiones de Java 5 y Java 6. El investigador ya ha enviado confidencialmente la información sobre el agujero de Java al fabricante Oracle, junto con el código del concepto de prueba.

Hasta el momento no hay informes de que la vulnerabilidad este siendo explotada en ataques. Oracle no ha dicho cuando va a cerrar la vulnerabilidad con una actualización. Un tema anterior reportado por Gowdiak en Abril de 2012 no se corrigio hasta finales de Agosto después de que los ataques a la vulnerabilidad habían comenzado en serio.

En Agosto de este año varios expertos en seguridad informática recomendaron desactivar temporalmente el soporte para el software Java en los navegadores web. Ante la situación de este constante devenir de vulnerabilidades, actualizaciones tardias y actualizaciones con problemas, como resultado surge la pregunta natural de que quizás para los usuarios de este software sea una mejor idea lo sugerido por varios expertos en seguridad informatica de si no necesita a Java de desinstalarlo definitivamente de sus equipos para evitar problemas mayores con el malware.

Traducción: Velcro

Fuente: The H Security Blog