Parche de Java, es parcial

Luego de saberse de la actualización de Java que publicó ayer Oracle, varias voces han señalado sobre que esta es una solución parcial. Y la difusión incompleta, no oficial, sobre este tema causó inicalmente cierta confusión, como lo explica @FaustoCepeda en su blog. También Esteban Guillardoy en el blog de Inmunity aclara el tema brindando detalles técnicos.

En resumidas cuentas el problema es el siguiente como explican en Bugtraq:

The new attack is a combination of two vulnerabilities. The first flaw allows to load arbitrary (restricted) classes by the means of findClass method of com.sun.jmx.mbeanserver.MBeanInstantiator class. (issue 50)
...
The second issue abuses the new Reflection API to successfully obtain and call MethodHandle objects that point to methods and constructors of restricted classes. (issue 32)

O sea la explotación activa conocida, de lo que era el 0-day, involucra la explotación de dos fallas distintas, la primera que fue emparchada parcialmente en octubre y la segunda, que solo afectaba a Java 7u10 y anteriores, que fue emparchada ahora.

Con el parche liberado ayer, la explotación conocida ya no es posible. Aun queda la otra falla (conocida como issue 50) sin resolver.

Fuentes:

• http://seguridaddescifrada.blogspot.com.ar/2013/01/confusion-sobre-la-debilidad-java-cve.html
• http://immunityproducts.blogspot.com.ar/2013/01/confirmed-java-only-fixed-one-of-two.html
• http://www.independent.ie/business/technology/emergency-patch-for-java-fails-to-fix-cybercrime-holes-warn-experts-3351321.html
• http://arstechnica.com/security/2013/01/critical-java-vulnerability-made-possible-by-earlier-incomplete-patch/
• http://betanews.com/2013/01/14/java-7-update-11-security-patch-fixes-nothing/
• http://stopmalvertising.com/malware-reports/cve-2013-0422-aftermath.html
• http://seclists.org/bugtraq/2013/Jan/48
• http://seclists.org/fulldisclosure/2012/Sep/170
• http://immunityproducts.blogspot.com.ar/2013/01/java-continues-to-wow-and-amaze.html
• http://news.softpedia.com/news/Java-7-Update-11-Addresses-the-Flaw-Partly-Fixed-in-October-2012-Experts-Say-320792.shtml
• http://news.softpedia.com/news/One-Billion-Users-Affected-by-Java-Security-Sandbox-Bypass-Vulnerability-Experts-Say-294629.shtml
• http://www.kb.cert.org/vuls/id/625617
• https://twitter.com/sagar38

Raúl de la Redaccion de Segu-Info en base a las fuentes.