Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Java vulnerable a pesar de actualizaciones
Apenas unos días después del último parche, ha surgido otra vulnerabilidad en Java.
Descrito en el blog Full Disclosure, publicación de seclists.org, la falla en la API Reflection afecta a todas las versiones de Java SE 7 y, según el investigador Adam Gowdiak, "se puede utilizar para saltarse la seguridad de la sandbox de Java y dirigirse al sistema objetivo".
Como siempre, la víctima tendría que permitir el paso de la amenaza, no solo es necesario tenerla instalada, sino hacer clic en Yes para permitir la ejecución de una aplicación maliciosa.
Gowdiak escribió que su compañía, Security Explorations, ha enviado el informe de la vulnerabilidad junto con el código utilizado en la prueba de concepto para demostrarla a Oracle.
La vulnerabilidad, de acuerdo a lo escrito por Gowdiak, está presente en el Plugin de JRE, en el JDK y la versión para ambientes de servidor de JRE. La compañía dice que ha reportado problemas en la API Reflection a Oracle desde abril de 2012, "parece que Oracle se centra principalmente en la caza de llamadas potencialmente maliciosas en el espacio de clases permitido de la API Reflection".
La semana pasada, Oracle publicó un parche para corregir 42 fallos de seguridad de los cuales 19 tuvieron una calificación de máxima severidad. Los parches incluyen un intento de alertar a los usuarios cuando estén a punto de hacer algo "tonto", como permitir que una aplicación de Java en el navegador pueda hacer cualquier cosa.
