Menú principal

jueves, 28 de junio de 2012

Liberado 0day POC de Apple QuickTime 7.7.1 + Java SE 6

La empresa Security Explorations ha publicado un paper titulado Security Vulnerabilities in Java, Issue 22, que explota dos fallos de seguridad en Apple Quick Time 7.7.1 y la última versión de Java SE 6 que permite tomar control total del sistema por medio de un Applet Java.

La vulnerabilidad en Apple Quick Time no permite el control total del sistema, y Apple decidió catalogarlo como una opción de fortificación que sería arreglada en la siguiente versión, pero desde la empresa Security Explorations están en desacuerdo con esta calificación, y han decidido publicar una Proof Of Concept de cómo, desde una página web maliciosa, y haciendo uso de otra vulnerabilidad en Oracle Java SE 6, se toma control de sistemas con las siguientes características:
- Windows XP SP3, Windows 7 HP 64-bit, Windows 7 Pro 32-bit
- Mozilla Firefox 11.0, Internet Explorer 9.0, Opera 11.62
- JRE/JDK 6 Update 31
Apple y Oracle aún no se han pronunciado al respecto, pero os recomendamos tener cuidado especial con Applets Java que puedan empezar a intentar explotar esta POC. El código de ejemplo está publicado en la siguiente URL: POC Apple Quick Time + Java SE 6.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares