Oracle conocía las vulnerabilidades de Java hace meses
Según unos investigadores, Oracle fue notificada en abril sobre las vulnerabilidades de día 0 en Java 7 explotadas.
La firma polaca de seguridad Security Exploration informó a Oracle a comienzos del pasado abril de la existencia de 19 problemas de seguridad en Java 7, entre las que se incluían las dos vulnerabilidades de día 0 sin parchear que ahora están siendo explotadas por los hackers para infectar a los ordenadores con malware, explica Adam Gowdiak, fundador y consejero delegado de dicha compañía, vía email. Y durante los siguientes meses, siguieron reportando vulnerabilidades en Java 7 hasta un total de 29.
Según los expertos de otra empresa de seguridad, Immunity, los exploits en Java publicados a comienzos de esta semana e integrados en el toolkit de ataque de Blackhole, hacen uso de dos vulnerabilidades Java y no de una como se había creído en un principio. "El primer agujero fue utilizado para obtener una referencia a la clase sun.awt.SunToolkit, restringido a applets, mientras que el segundo hace una llamada al método estático y público getField de SunToolkit utilizando reflexión con un caller de confianza que evita las medidas de seguridad", explica Esteban Guillardoy, desarrollador de Immunity, en su blog.
Hasta que ambas vulnerabilidades, una en la clase ClassFinder y otra en el MethodFinder, se detectaron y reportaron por Security Explorations en abril, los exploits de prueba de concepto proporcionados por la compañía a Oracle combinaban ambas con otros bugs, no juntas, explicaba Gowdiak. "El modo en el que la clase SunToolkit y su método getField se utilizó para lograr pasar totalmente el sandbox JVM (Java Virtual Machine) es diferente a lo que habíamos demostrado a Oracle", añade Gowdiak.
Por esta razón, el investigador cree que el nuevo exploit es, probablemente, fruto de alguien que ha descubierto las mismas vulnerabilidades, más que tratarse de una fuga de información en algún punto del proceso de reporte de vulnerabilidades. Sin embargo, nada puede excluirse al 100%, según Gowdiak. "No sabes ni con quién ni de qué forma o detalle comparte Oracle información".
Según un informe de Oracle recibido el 23 de agosto, la compañía pretende solucionar las dos vulnerabilidades en su actualización de parches críticos (CPU, por su siglas en inglés) previsto para Octubre, junto a otras 17 brechas en Java 7 reportadas por Security Explorations, apunta el CEO de la compañía polaca.
Fuente: CSO España
La firma polaca de seguridad Security Exploration informó a Oracle a comienzos del pasado abril de la existencia de 19 problemas de seguridad en Java 7, entre las que se incluían las dos vulnerabilidades de día 0 sin parchear que ahora están siendo explotadas por los hackers para infectar a los ordenadores con malware, explica Adam Gowdiak, fundador y consejero delegado de dicha compañía, vía email. Y durante los siguientes meses, siguieron reportando vulnerabilidades en Java 7 hasta un total de 29.
Según los expertos de otra empresa de seguridad, Immunity, los exploits en Java publicados a comienzos de esta semana e integrados en el toolkit de ataque de Blackhole, hacen uso de dos vulnerabilidades Java y no de una como se había creído en un principio. "El primer agujero fue utilizado para obtener una referencia a la clase sun.awt.SunToolkit, restringido a applets, mientras que el segundo hace una llamada al método estático y público getField de SunToolkit utilizando reflexión con un caller de confianza que evita las medidas de seguridad", explica Esteban Guillardoy, desarrollador de Immunity, en su blog.
Hasta que ambas vulnerabilidades, una en la clase ClassFinder y otra en el MethodFinder, se detectaron y reportaron por Security Explorations en abril, los exploits de prueba de concepto proporcionados por la compañía a Oracle combinaban ambas con otros bugs, no juntas, explicaba Gowdiak. "El modo en el que la clase SunToolkit y su método getField se utilizó para lograr pasar totalmente el sandbox JVM (Java Virtual Machine) es diferente a lo que habíamos demostrado a Oracle", añade Gowdiak.
Por esta razón, el investigador cree que el nuevo exploit es, probablemente, fruto de alguien que ha descubierto las mismas vulnerabilidades, más que tratarse de una fuga de información en algún punto del proceso de reporte de vulnerabilidades. Sin embargo, nada puede excluirse al 100%, según Gowdiak. "No sabes ni con quién ni de qué forma o detalle comparte Oracle información".
Según un informe de Oracle recibido el 23 de agosto, la compañía pretende solucionar las dos vulnerabilidades en su actualización de parches críticos (CPU, por su siglas en inglés) previsto para Octubre, junto a otras 17 brechas en Java 7 reportadas por Security Explorations, apunta el CEO de la compañía polaca.
Fuente: CSO España
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!