A pesar de que Oracle ha actualizado Java 7 SE recientemente, ya se acaba de descubrir un nuevo fallo de seguridad que permite saltarse la sandbox y ejecutar código en la máquina directamente. El bug ha sido publicado en Full Disclosure por Adam Gowdiak de Seguridad Explorations, ya afecta a la última versión parcheada de Java.
Figura 1: Correo a Full Disclosure con información sobre el bug |
El bug, según se informa en el correo, ha sido notificado a Oracle junto con una prueba de concepto, y parece que no solo afecta a todas las versiones de Java SE 7, sino que también lo hace a la versión Server JRE que se ha anunciado hace poco. El fallo está en el API de Reflection y se podría ejecutar código malicioso con solo la aprobación de la ejecución de un Applet por parte del usuario.
Figura 2: Bloqueo de Applets Java por sitio web |
En la última versión de Apple Safari se puede elegir en qué sitios se quiere permitir ejecutar Applets de Java, así que os instamos a que solo habilitéis Java en los sitios de vuestro trabajo que sean de confianza que necesiten Java, para todos los demás: prohibido.
No hay comentarios:
Publicar un comentario