Oracle conocía las vulnerabilidades de Java hace meses

(Tomado de csospain.es) Según unos investigadores, Oracle fue notificada en abril sobre las vulnerabilidades de día 0 en Java 7 explotadas ahora por los hackers.

La firma polaca de seguridad Security Exploration informó a Oracle a comienzos del pasado abril de la existencia de 19 problemas de seguridad en Java 7, entre las que se incluían las dos vulnerabilidades de día 0 sin parchear que ahora están siendo explotadas por los hackers para infectar a los ordenadores con malware, explica Adam Gowdiak, fundador y consejero delegado de dicha compañía, vía email. Y durante los siguientes meses, siguieron reportando vulnerabilidades en Java 7 hasta un total de 29.

egún los expertos de otra empresa de seguridad, Immunity, los exploits en Java publicados a comienzos de esta semana e integrados en el toolkit de ataque de Blackhole, hacen uso de dos vulnerabilidades Java y no de una como se había creído en un principio. “El primer agujero fue utilizado para obtener una referencia a la clase sun.awt.SunToolkit, restringido a applets, mientras que el segundo hace una llamada al método estático y público getField de SunToolkit utilizando reflexión con un caller de confianza que evita las medidas de seguridad”, explica Esteban Guillardoy, desarrollador de Immunity, en su blog.

Hasta que ambas vulnerabilidades, una en la clase ClassFinder y otra en el MethodFinder, se detectaron y reportaron por Security Explorations en abril, los exploits de prueba de concepto proporcionados por la compañía a Oracle combinaban ambas con otros bugs, no juntas, explicaba Gowdiak. “El modo en el que la clase SunToolkit y su método getField se utilizó para lograr pasar totalmente el sandbox JVM (Java Virtual Machine) es diferente a lo que habíamos demostrado a Oracle”, añade Gowdiak.

Por esta razón, el investigador cree que el nuevo exploit es, probablemente, fruto de alguien que ha descubierto las mismas vulnerabilidades, más que tratarse de una fuga de información en algún punto del proceso de reporte de vulnerabilidades. Sin embargo, nada puede excluirse al 100%, según Gowdiak. “No sabes ni con quién ni de qué forma o detalle comparte Oracle información de Vulnerabilidades en java 7vulnerabilidades”.

Según un informe de Oracle recibido el 23 de agosto, la compañía pretende solucionar las dos vulnerabilidades en su actualización de parches críticos (CPU, por su siglas en inglés) previsto para Octubre, junto a otras 17 brechas en Java 7 reportadas por Security Explorations, apunta el CEO de la compañía polaca.

Oracle emite parches de seguridad cada cuatro meses. El último se lanzó en junio y solo abordaba tres de las cuestiones de seguridad de las que informó la firma de seguridad. “Aunque estamos en contacto con Oracle y el proceso de comunicación ha sido bastante fluido, no sabemos por qué Oracle ha dejado estas brechas tan serias para su CPU de Octubre”, manifiestan desde Security Exploration, que concluyen diciendo que no son “conscientes en los planes de parches de Oracle, si bien esperamos que lancen una solución para estos problemas tan pronto como sea posible”.
Autor: IDG.es
Fecha: 30/08/2012

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s