Menú principal

martes, 23 de abril de 2013

Java 7 SE: Nuevo fallo de seguridad para saltar la sandbox

A pesar de que Oracle ha actualizado Java 7 SE recientemente, ya se acaba de descubrir un nuevo fallo de seguridad que permite saltarse la sandbox y ejecutar código en la máquina directamente. El bug ha sido publicado en Full Disclosure por Adam Gowdiak de Seguridad Explorations, ya afecta a la última versión parcheada de Java.

Figura 1: Correo a Full Disclosure con información sobre el bug

El bug, según se informa en el correo, ha sido notificado a Oracle junto con una prueba de concepto, y parece que no solo afecta a todas las versiones de Java SE 7, sino que también lo hace a la versión Server JRE que se ha anunciado hace poco. El fallo está en el API de Reflection y se podría ejecutar código malicioso con solo la aprobación de la ejecución de un Applet por parte del usuario.

Figura 2: Bloqueo de Applets Java por sitio web

En la última versión de Apple Safari se puede elegir en qué sitios se quiere permitir ejecutar Applets de Java, así que os instamos a que solo habilitéis Java en los sitios de vuestro trabajo que sean de confianza que necesiten Java, para todos los demás: prohibido.

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

En el futuro iPhone podrá recopilar biometría y fotos de los ladrones

Apple ha obtenido una patente el pasado jueves en la que se describe un método de almacenamiento de datos biométricos de un usuario no...

Otras historias relacionadas

Entradas populares