Miembros de
Boletines de Vulnerabilidades |
Nuevo fallo de seguridad en Java permite evadir la sandbox |
|
Información sobre el sistema |
|
| Software afectado | Todas las versiones de Java 7, hasta la 1.7.0_21-b11 |
Descripción |
|
|
Adam Gowdiak, que se ha hecho conocido por encontrar vulnerabilidades en Java, ha reportado una nueva vulnerabilidad, que afecta a todas las versiones de Java 7, incluída la última publicada hace pocos días a raíz del boletín de seguridad trimestral de Oracle. El problema reside, una vez más, en la API Reflection, y permite a los atacantes saltar la sandbox y acceder directamente al sistema operativo sobre el que se ejecuta la aplicación. Gowdiak no ha publicado más detalles sobre la vulnerabilidad para dar a Oracle tiempo para solucionar el problema y publicar un parche. Esto significa que actualmente hay 3 vulnerabilidades descubiertas por Gowdiak que todavía no se han solucionado (problemas 54, 56 y 61 según la numeración del propio investigador). Para que el ataque sea efectivo, la víctima debe aceptar el aviso de seguridad, ahora obligatorio, que indica que un applet va a ser ejecutado en una web. Esto hace que los ataques completamente automáticos no sean ahora posibles. La versión de servidor también es vulnerable, según el investigador. Sobre cómo introducir el código malicioso en la máquina virtual Java del servidor, Gowdiak apunta a la guía de Oracle sobre cómo protegerse contra los ataques de inyección de código en Java. |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso remitido | 2013-04-26 |