Menú principal

martes, 23 de abril de 2013

Java 7 SE: Nuevo fallo de seguridad para saltar la sandbox

A pesar de que Oracle ha actualizado Java 7 SE recientemente, ya se acaba de descubrir un nuevo fallo de seguridad que permite saltarse la sandbox y ejecutar código en la máquina directamente. El bug ha sido publicado en Full Disclosure por Adam Gowdiak de Seguridad Explorations, ya afecta a la última versión parcheada de Java.

Figura 1: Correo a Full Disclosure con información sobre el bug

El bug, según se informa en el correo, ha sido notificado a Oracle junto con una prueba de concepto, y parece que no solo afecta a todas las versiones de Java SE 7, sino que también lo hace a la versión Server JRE que se ha anunciado hace poco. El fallo está en el API de Reflection y se podría ejecutar código malicioso con solo la aprobación de la ejecución de un Applet por parte del usuario.

Figura 2: Bloqueo de Applets Java por sitio web

En la última versión de Apple Safari se puede elegir en qué sitios se quiere permitir ejecutar Applets de Java, así que os instamos a que solo habilitéis Java en los sitios de vuestro trabajo que sean de confianza que necesiten Java, para todos los demás: prohibido.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares