La semana pasada fue un tanto movida para los responsables de Oracle debido al grave problema de seguridad que existía en la plataforma Java, más concretamente en la versión 7.
Investigadores en seguridad han descubierto una nueva vulnerabilidad en la plataforma
que ha aparecido como consecuencia de la actualización que fue
publicada a finales de la semana pasada para tratar de solucionar los
graves problemas de seguridad.
En este nuevo agujero de seguridad, el atacante puede esquivar con cierta facilidad la “SandBox” de la máquina virtual de Java.
La aparición de este nuevo problema de seguridad pocos días después
de haber “parcheado” Java 7 hace ver que las cosas no se están haciendo
bien por parte de Oracle.
La anterior vulnerabilidad detectada tenía tal magnitud que Oracle
se vio obligada a romper su política de sacar actualizaciones cada 4
meses. Desde Oracle añadieron que en esta actualización también se
solucionaron otras tres vulnerabilidades que, aunque es probable que no
hayan sido explotadas por terceras personas, podrían haber agravado la
magnitud del agujero al cual se ha querido dar solución.
¿Solución o chapuza?
La solución que han dado desde Oracle con la actualización ha sido la de suprimir los métodos de la clase sun.awt.SunToolkit
que eran los que permitían a una tercera persona hacerse con los
permisos necesario para inyectar código malicioso en el sistema y
ejecutar e instalar cualquier tipo de programa en el ordenador afectado.
A pesar de haber solucionado el problema, han creado otro nuevo agujero de seguridad ya que, ahora es mucho más fácil saltarse la SandBox de la máquina virtual de Java y poder ejecutar cualquier tipo de código o utilizar muchos exploits para tratar de dañar el equipo del usuario.
Desde Oracle no han querido entrar en comentarios.
Todavía no se sabe si esta semana también tendremos una nueva
actualización de Oracle o si tendremos que esperar a la de Octubre. Se
trata de un agujero de seguridad grave. Algunos investigadores han
tratado de ponerse en contacto con la empresa pero ésta no ha querido
verter ningún tipo de opinión acerca de este nuevo problema que se trata
de un claro desacierto por parte de Oracle.
Fuente | PCWorld
No hay comentarios:
Publicar un comentario