Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad 0-day en Java

Vulnerabilidad 0-day en Java

Fecha de publicación: 
11/01/2013
Importancia: 
5 - Crítica
Recursos afectados: 

La vulnerabilidad explotada hasta el momento afecta a Java 7 (1.7) Update 10. No afecta a la versión 6 de Java ni versiones inferiores. Funciona en todas las versiones de Internet Explorer, Firefox y Opera excepto en Chrome.

Descripción: 

Se ha descubierto una vulnerabilidad 0-day (se abre en nueva ventana) que afecta a Java 7 (1.7) Update 10.

Solución: 

Hasta que se solucione esta grave vulnerabilidad, lo mejor es desactivar Java para evitar males mayores. También podemos plantearnos si realmente merece la pena tener este software instalado. Si no necesitamos Java para el correcto funcionamiento de nuestro sistema (especialmente para la navegación web) podemos desinstalarlo.

Existe la posibilidad de desactivar manualmente Java tal y como explican nuestros compañeros de la Oficina de Seguridad del Internauta (OSI) aquí.

Detalle: 

Los investigadores de seguridad @Kafeine y Brian Krebs destaparon durante el día de ayer la existencia de un exploit para una vulnerabilidad hasta ahora desconocida en la última versión de Java.

La explotación de esta vulnerabilidad podría suponer la ejecución remota de código en el sistema afectado.

El exploit habría ya sido incluido en los Exploit Kits Blackhole y Nuclear Pack. Por otra parte , según comenta @Kafeine, el exploit habría tenido ya varios miles de descargas.

Oracle aún no ha confirmado ni desmentido el problema, pero diferentes casas de seguridad han podido demostrar la existencia de la vulnerabilidad y la viabilidad de realización de un ataque remoto.

Según un estudio preliminar por el grupo AlienVault, el fichero Java del exploit se encuentra altamente ofuscado y aprovecha un problema de permisos para saltarse algunas comprobaciones de seguridad de Java.