El parche para Java 7 publicado por Oracle tiene problemas de seguridad
Abraham
La semana pasada Oracle se veía obligado a publicar un parche de seguridad para Java 7 fuera de su ciclo habitual trimestral de publicación de parches para resolver un 0-day-exploit que afectaba a todos los sistemas operativos, aunque hasta donde se sabe sólo se estaba empleando activamente contra equipos Windows.
Esta semana una compañía de seguridad polaca afirma que dicho parche de seguridad tiene una nueva vulnerabilidad. No han hecho públicos los detalles de la vulnerabilidad, pero según ellos lleva a una ejecución de código arbitrario (es decir, a hacer lo que les dé la gana con tu máquina). La compañía está trabajando junto con Oracle para resolver esta vulnerabilidad. Oracle por lo de ahora no ha comentado sobre el tema.
Según Rapid7, otra compañía de seguridad, tan sólo el 35% de los usuarios de Java han aplicado parches de seguridad después de 90 días de haberse hechos públicos estos parches. Esto, junto con su presencia bastante extendida en equipos, son los motivos por los cuales actualmente Java es el vector de ataque preferido por los hackers.
El artículo original también tiene un consejo de Tod Beardsley, uno de los participantes en el proyecto Metasploit y empleado de la compañía de seguridad Rapid7:
It's important to remember that this is certainly not the last 0-day we'll see on Java. It's still advisable to keep Java browser plugins disabled except for sites that you know you need it on. Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer all allow for this kind of "whitelist" configuration. It's still a good idea to keep your vulnerability profile low for the next time.
Él tiene claro que Java va a seguir siendo explotado con ataques similares a éste. Por lo menos, él no recomienda des instalar Java, que es lo que recomiendan bastante otros especialistas de seguridad.
Reader Comments (4)
Normal, las cosas sacadas rápido y sin probarse bien, pues pueden tener problemas paralelos. Nos pasa a todos los desarrolladores y bueno, de Oracle se espera un poco más, pero ya vemos que no. Además sacarle los colores a Oracle siempre es un objetivo motivador para muchos, así que más les vale estar en guardia.
"Normal, las cosas sacadas rápido y sin probarse bien, pues pueden tener problemas paralelos."
jeje, ayer mismo, el "maldito" evento "change"
Para dar el toque sensacionalista, acabo de leer en la nota alterna donde sustrajeron del FBI muchos device-id de Apple, que utilizaron una vulnerabilidad de Java para extraer la información de la PC del Agente Especial Christopher K. Stangl.
No tengo idea que tan fiable sea la información que tomé de aquí, pero de ser cierta repercutirá en la imagen de la plataforma.
Probablemente lo que hace el FBI es irrelevante completamente para la humanidad, ahora bien, se lo tienen que pasar cañón currando ahí dentro, con unas flipadas mentales de cagarse, que si la invasión china, que si el terrorismo palestino, que si alqaeda es una base de datos de pago o bien opensource. Sí son frikies las personas normales del FBI de las series de la tele, imaginate un informático en el FBI, el frikismo elevado a la máxima potencia, salvando las distancias con gente como Chimo Baggio, Chiquito de la Calzada y demás (sin acritud hacia ellos jaja)