0-day: Inyección arbitraria de parámetros a través de Java Deployment Toolkit
Según informa Hispasec en su boletín de seguridad una-al-día, ha aparecido una vulnerabilidad en el Java Deployment Kit. Este kit es un plugin para los navegadores que se instala con el JRE, y que permite a los desarrolladores desplegar aplicaciones Java Web Start abstrayendose del navegador y el JRE instalado.
La vulnerabilidad permite lanzar un archivo jar arbitrario en el equipo atacado y al parecer, mediante el uso de un parametro no documentado de javaws, puede ejecutar incluso DLLs nativas.
Según explica Hispasec, Oracle aún no se ha pronunciado sobre este asunto. Será una buena oportunidad para ver como respira la nueva compañía en lo que a asuntos de seguridad se refiere. Java tiene fama de ser una plataforma de las más seguras y no es cuestión de que no siga siendo así.
Reader Comments