java_bug_alert

Con fecha del 14 de Enero del 2013 Oracle lanzo la actualización Java 7 Update 11, que incluyo una solución para la vulnerabilidad crítica divulgada a principios de Enero que ya ha sido explotada ampliamente. La actualización también incluyo una solución para otra vulnerabilidad crítica previamente no revelada. Oracle también ha confirmado que los defectos en cuestión no afectan a Java 6 o versiones anteriores. Oracle insto a los usuarios a actualizarse tan pronto como fuera posible pero el parche de Java deja un peligroso vacío.

Adán Gowdiak es infatigable: pues como decía anteriormente el 14 de Enero, Oracle lanzó un parche de emergencia para el agujero de Día Cero en Java, y el investigador de seguridad el 18 de Enero del 2013 ya encontro el resquicio que viene. En un post de la lista de correo Full Disclosure, el experto ha puesto de manifiesto que el defectuoso MBeanInstantiator le inspiró el  método para buscar agujeros adicionales. Brian Krebs había mencionado previamente una nueva vulnerabilidad que no puede ser neutralizada con el parche de Oracle; si esto se refiere a la misma vulnerabilidad sigue siendo poco claro.

Gowdiak dice que ha encontrado dos nuevos “problemas” que ha numerado 51 y 52. Según el investigador, los agujeros aún permiten que los applets escapen de la sanbox (caja de arena) en la versión actual de Java. Sin embargo, hablando con los asociados The H en Heise online, Gowniak dijo que el exploit sólo tiene éxito con los applets firmados si el usuario ya ha permitido su ejecución.

En el año 2012, Gowdiak colecciono  otras 49 vulnerabilidades de Java y informando a Oracle de ellas. La empresa Immunity Products ha proporcionado un exhaustivo análisis del supuestamente cerrado agujero de Día Cero. Según el análisis de la empresa, MBeanInstantiator combinado con un control de seguridad defectuoso en el API Reflection permite a los atacantes cargar clases protegidas. En última instancia, les permite deshabilitar el Security Manager (Administrador de Seguridad).

Rapid 7’s HD Moore señala que la actualización de Oracle fue “liberada bajo coacción y ayudó con el problema inmediato de que los consumidores sean comprometidos”. A pesar de que se supone que Oracle está trabajando entre bastidores para hacer frente a otros problemas, se cree que Oracle necesita invertir fuertemente para ofrecer un “proceso a nivel de sanbox y un cambio drástico en las API disponibles para los applets no confiables”.

Mientras tanto, a menos que un usuario necesita Java específicamente para una aplicación en particular, los expertos en seguridad de The H y muchos otros recomiendan desactivar Java en el navegador web. A diferencia del nombre similar y ampliamente utilizado JavaScript, Java tiene un uso relativamente bajo en la web, la mayoría de su éxito ha estado en las aplicaciones de servidor en las empresas donde las vulnerabilidades de los navegadores no son útilmente explotables.

A estas alturas y con tantos problemas con el software de Java si no le es absolutamente necesario es mejor desinstalarlo. En caso contrario se recomienda desactivar Java en el navegador web que utiliza cotidianamente y utilizar cuando lo necesite con las debidas precauciones otro navegador web con Java activado.

La firma de seguridad Trend Micro publica en su blog ​​que la controversia alrededor del agujero de Día Cero ha inspirado a los atacantes para liberar un falso parche de Java. Al parecer, un archivo llamado javaupdate11.jar carga dos programas de Windows a través de Internet que pueden abrir backdoors (puertas traseras). Se recomienda que los usuarios sólo deben instalar las actualizaciones de Java desde fuentes fiables.

Nota: Todos los enlaces en idioma inglés

Traducción: Velcro

Fuente: The H Security Blog