Java – Actualización de seguridad con agujero de seguridad incluído

javaOracle ha publicado hace escasos días una actualización de seguridad para su conocida plataforma Java. Dicha actualización está fuera de los ciclos habituales que maneja la compañía debido a la urgencia con que se esperaba. Hay expertos que afirman que Oracle ya conocía una amenaza potencial para el entorno Java versión 7 desde el mes de Abril. Su reacción ha sido bastante perezosa y esto ha provocado que más de un ciberdelincuente haya explotado esa vulnerabilidad.

El caso es que hace pocos días que todo esto salió a la luz. La próxima actualización de Java no tendría que haber llegado hasa Octubre, pero las circunstancias obligaron a la empresa a meterse de lleno en el asunto, siendo criticada por su dejadez, ya que fueron terceras empresas usuarias las que tuvieron que adelantarse interponiendo alguna serie de medidas para paliar este defecto mientras tanto.

Fué Adam Gowdiak, presidente de la empresa polaca Security Explorations uno de los primeros en alertar del problema en una publicación anglosajona “El ´bug´ [error de código] está relacionado con otros ´bugs´ que habíamos detectado hace meses y que oportunamente notificamos a Oracle en abril de 2012 (y que aún no han sido parcheados). Su composición hace posible explotarlos nuevamente”.

Como viene sucediendo en anteriores versiones de Java, la vulnerabilidad consiste en que se rompe la barrera de seguridad que ofrece el Sandbox (entorno virtualizado seguro) del programa, lo que permite una elevación de privilegios empleada para instalar malware o código dañino en los equipos. Según ha explicado Gowdiak han descubierto partes de código susceptibles de ser vulneradas  en la propia actualización, aunque Oracle no ha confirmado ni desmentido nada.

Conviene destacar que el problema sólo afecta a a la versión de Java empleada por los navegadores y no a la versión de escritorio. Los usuarios de servidores no deberían ser vulnerables. Por otro lado, si bien no se han detectado infecciones en Mac OS, los expertos señalan que sí es vulnerable.

 

Mejor Antivirus – Seguridad Informática

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.