Adam Gowdiak, fundador y Director General de Security Exploitations, envió a Oracle un informe con detalles sobre este nuevo fallo, junto con un exploit de prueba de concepto. Gowdiak dijo que su empresa no revelaría públicamente ningún detalle técnico sobre este nuevo riesgo de seguridad hasta que Oracle hubiese arreglado el problema.
El jueves pasado, Oracle lanzó una solución de emergencia para el controvertido CVE-2012-4681 y otros dos en Java 7 que se ejecutan en navegadores web de los escritorios. Al parecer, esta actualización de Java también reparó un fallo de "seguridad en profundidad " que no atacable directamente, pero que se podría utilizar para empeorar el resultado final si se ataca a otras vulnerabilidades.
Security Exploitations informó de la ocurrencia de 29 vulnerabilidades en Java 7a Oracle en abril, junto con 16 exploits que eludieron a Java sandbox y ejecutaron el código arbitrario en los sistemas. La empresa de seguridad vio que parcheando la "seguridad en profundidad ", Oracle consiguió desactivar todas los ataques ocurridos en primavera, lo que lleva a creer que el parche no repararó las vulnerabilidades, sino simplemente destruyó el vector de explotación.
"Una vez que encontramos que nuestros códigos de bypass de Java sandbox dejaron de funcionar después de que la actualización se había aplicado, se volvió a mirar los códigos de POC y comenzamos a pensar en las posibles formas de cómo romper completamente la última actualización de Java de nuevo", declaró Gowdiak para PCWorld. "Una nueva idea se nos ocurrió, ésta se verificó y resultó que era la correcta".
Esta nueva vulnerabilidad, junto con otras que aún están sin parches, pueden volver a conducir al bypass de JVM sandbox en el sistema de la víctima. La comunidad de está a la espera de un nuevo parche de seguridad para proteger a los usuarios de una mayor incidencia. Mientras tanto, todos los que usan Java se recomienda que lo desinstalen desde sus sistemas.
Más información en
BitDefender.es
Crear cuenta