• Tweet

Un fallo de diseño en Java da a los hackers una manera de ejecutar software no autorizado sobre la computadora de una víctima, advierte investigador de Google.

Un investigador de Google ha publicado detalles de un error en la máquina virtual de Java que podría ser usado para ejecutar software no autorizado sobre una computadora.

El ataque fue revelado el viernes por Tavis Ormandy de Google, quien dijo haber notificado al equipo Sun de Oracle sobre el fallo. “Me informaron que ellos no consideran a esta vulnerabilidad lo suficientemente alta como para romper su ciclo de revisión trimestral,” Ormandy escribió. “No estuve de acuerdo”.

Oracle no quiso hacer comentarios sobre el tema. La compañía acaba de lanzar una importante actualización de Java la semana pasada y su siguiente conjunto de parches esta previsto para Julio.

El ataque podría dar a los hackers una forma de ejecutar programas no autorizados de Java sobre la computadora de una víctima. Pueden hacer esto porque permite a desarrolladores de Java decirle a la maquina virtual que instale librerías de Java alternativas. Creando una librería maliciosa y diciendole luego a la MVJ que lo instale, un atacante podría ejecutar su programa malicioso.

Oracle esta cometiendo un error al no corregir el error de inmediato, dijo Marc Maiffret, arquitecto jefe de seguridad con FireEye, através de un mensaje instantáneo.

El error es particularmente desagradable, porque se debe a un defecto de diseño en Java, en lugar del tipo de errores de programación que daría lugar a un ataque de buffer-overflow más comunes. "Es un error limpio”, dijo.

Sin embargo, los ataques basados en Java aún son raros y en lugar de desarrollar un nuevo tipo de ataque, los delincuentes están más propensos a pasar su tiempo usando vectores conocidos, como el navegador o Adobe Reader, dijo Russ Cooper, analista superior de seguridad de la información con Verizon Business.

"Java no se ha explotado en una medida que debería preocupar al consumidor medio o de negocios en cuanto a eso", dijo a través de mensaje instantáneo.

La falla afecta a "todas las versiones desde Java SE 6 Update 10 para Microsoft Windows," dijo Ormandy. Los usuarios de Linux también pueden verse afectados, dijo Symantec en una nota sobre el tema.