Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad 0-day en la máquina virtual Java |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | official+tested |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | Máquina virtual Oracle Java versión 7 (1.7), actualización 10 y anteriores. |
Descripción |
|
|
Se ha detectado una vulnerabilidad de tipo 0day (sin parche disponible) a la máquina virtual Java. La vulnerabilidad es de nivel crítico, ya que permite la ejecución de código de forma remota, y está siendo explotada activamente por parte de los principales kits de explotación (exploit kits) como Blackhole y Nuclear. La máquina virtual Oracle Java Runtime Environment (JRE) 1.7 permite a los usuarios ejecutar aplicaciones Java en un navegador o como programas independientes. Estas vulnerabilidades podrían ser explotables remotamente sin autenticación, pueden ser explotados a través de una red sin la necesidad de un nombre de usuario y contraseña. Para ser explotado con éxito, un usuario desprevenido debe estar ejecutando una versión afectada de un navegador debera visitar una página web maliciosa que aprovecha esta vulnerabilidad. El éxito de exploits puede afectar la disponibilidad, integridad y confidencialidad del sistema del usuario. El conector Java JRE proporciona su propio gestor de seguridad (Security Manager). Típicamente, un applet web se ejecuta con un gestor de seguridad proporcionado por el navegador o el conector Java Web Start. Según la documentación de Oracle, si hay un gestor de seguridad ya instalado, la máquina virtual comprueba si es seguro sustituir el gestor de seguridad existente, mediante el método checkPermission. Utilizando la vulnerabilidad, relacionada con componentes MBean de las extensiones Java Management Extensions (JMX), y objectessun.org.mozilla.javascript.internal, un applet Java no confiable puede escalar los privilegios llamando a la función setSecurityManager(), sin necesidad de que el código esté firmado. El identificador CVE asignado a esta vulnerabilidad es CVE-2013-422. La vulnerabilidad ha sido descubierta porque está siendo explotada activamente por parte de los principales packs de explotación, entre ellos Blackhole, CoolEK, Nuclear, Sakura / Redkit. |
|
Solución |
|
|
Oracle ha publicado el parche para esta vulnerabilidad: Los desarrolladores pueden descargar la última versión de Java SE JDK y JRE 7 versiones de http://www.oracle.com/technetwork/java/javase/downloads/index.html. Los usuarios que ejecutan Java SE con un navegador pueden descargar la última versión de JRE 7 en http://java.com/. Los usuarios de la plataforma Windows también puede utilizar las actualizaciones automáticas para obtener la última versión de JRE 7. |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2013-422 CVE-2012-3174 |
| BID | |
Recursos adicionales |
|
|
Aviso de seguridad de US-CERT http://www.kb.cert.org/vuls/id/625617 Información en el blog de la empresa de seguridad Alienvault http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/ Información en el sitio web del investigador de seguridad original http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html Pagina oficial de Oracle http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2013-01-13 |