Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad 0-day en Java 7

Vulnerabilidad 0-day en Java 7

Fecha de publicación: 
27/08/2012
Importancia: 
5 - Crítica
Recursos afectados: 

La vulnerabilidad explotada hasta el momento afecta a Java 7 (1.7) Update 0-6. No afecta a la versión 6 de Java ni versiones inferiores. Funciona en todas las versiones de Internet Explorer, Firefox y Opera excepto en Chrome.

Descripción: 

Se ha descubierto una vulnerabilidad 0-day que afecta a Java 7 (1.7) Update 0-6.

Solución: 

Por el momento no existe ningún parche oficial. Se recomienda desactivar Java en el navegador hasta que se solucione la vulnerabilidad.

Michael 'mihi' Schierl (schierlm at gmx.de) propone una solución temporal (no oficial) con la que mitigar el exlpoit actual en instalaciones con Java 7. Dicha solución consiste en crear un sub-directorio dentro de lib (dentro del directorio de instalación de Java 7), nombrarlo como endorsed, copiar el parche temporal en dicho directorio y reiniciar el navegador. Para más información sobre esta solución así como para solicitar dicho parche consulte DeependResearch. No obstante se recomienda deshabilitar java hasta que exista un parche oficial.

Detalle: 

Aunque el número de ataques reportados hasta el momento ha sido relativamente bajo (en FireEye se describe el exploit utilizado en algunos ataques dirigidos), es probable que su número aumente debido a la naturaleza de la vulnerabilidad.

Actualización: según informan en Rapid7, habrá un exploit funcional para Metasploit en un par de horas.

Impacto:

  • Ejecución de código