SEGURIDAD | Noticias | 24 ABR 2013

Detectado un grave error en Java Runtime Environment tanto en equipos servidor como sobremesa

Tags: Actualidad
Los analistas de la firma de investigaciones de seguridad polaca, Security Explorations, afirman haber encontrado una nueva vulnerabilidad que afecta a las últimas versiones desktop y servidor de JRE (Java Runtime Environment).
PCWORLD PROFESIONAL

El fallo parece estar localizado en el componente de Java, Reflection API, y puede ser empleado para superar completamente el filtro de seguridad Java y ejecutar código arbitrario en los ordenadores, asegura el CEO de la firma de análisis Security Explorations en un email, Adam Gowdiak. El fallo afecta a todas las versiones de Java 7, incluyendo la actualización 21 que fue presentada por Oracle el pasado martes y al nuevo paquete Server JRE que se anunció al mismo tiempo.

Como sugiere su nombre, Server JRE es una versión del entorno Java Runtime diseñado para su despliegue en servidores. Según Oracle, el servidor JRE no contiene el plug-in al browser Java, un objetivo frecuente de ataques Web, el componente auto-actualizado o el instalador encontrado en el paquete habitual de JRE.

Aunque Oracle está preocupado porque las vulnerabilidades de Java puedan ser explotadas en despliegues de servidores introduciendo virus en las APIs (interfaz de programación de aplicaciones) y en sus componentes vulnerables, su mensaje ha sido que normalmente la mayoría de vulnerabilidades Java solo afecta al plug-in del navegador, por lo que la posibilidad de que se vieran afectados los servidores era improbable, en palabras de Gowdiak.

“Intentamos que los usuarios tomen conciencia de que los consejos de Oracle no fueron correctos, respecto al impacto de las vulnerabilidades Java SE”, subraya Gowdiak. “Probamos que los fallos analizados por Oracle solo en el complemento del navegador, también afectan al servidor”, explica el experto.

El pasado mes de febrero, Security Explorations verificó un nuevo fallo en el servidor JRE, pero lo consideraron una vulnerabilidad de los componentes y APIs Java que podían ser utilizados para cargar o ejecutar código Java no seguro en los servidores.

Si existe un vector de ataque en uno de los componentes mencionados en la Guía 3-8 del lenguaje de programación de Oracle, los despliegues de servidores Java pueden ser atacados mediante una vulnerabilidad como la reportada el pasado martes por Oracle,  indica Gowdiak.

El investigador está en desacuerdo con la forma en que se ha implementado JavaReflection API, ya que este componente ha sido el origen de múltiples vulnerabilidades hasta el momento. “Reflection API no se ajusta al modelo de seguridad de Java y, si se utiliza de forma incorrecta, puede provocar fácilmente problemas de seguridad”, insiste.

“Este nuevo fallo es un ejemplo típico de la debilidad de Reflection API”, subraya Gowdiak. “Esta vulnerabilidad no debería aparecer en el código de Java 7, un año después de que la propia Oracle detectara un problema de seguridad genérico relativo a Reflection API”, concluye.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información