Los investigadores de Security Explorations han identificado un par de nuevas vulnerabilidades que permiten eludir completamente el sandbox de Java y que afectan al Java SDK para Java Technology Edition, versión 7.0 SR5.

El director ejecutivo de Security Explorations, Adam Gowdiak, me dijo en un correo electrónico que información y códigos de prueba de concepto han sido enviados a IBM hoy.

"Además de eso, también dijimos a IBM que uno de los fallos reportados originalmente a la compañía en septiembre de 2012 no ha sido solucionado adecuadamente", señaló Gowdiak.

"El parche para ese error (el segundo intento por corregirlo) todavía puede ser eludido con éxito. Como resultado, un escape completo del sandbox de Java puede ser obtenido en el ambiente de IBM Java SDK vulnerable."

Hoy, la compañía también ha publicado los detalles técnicos y una prueba de concepto para una vulnerabilidad Java 7 (issue 69) parcheada por Oracle con el lanzamiento del conjunto de actualizaciones críticas (CPU) de octubre de 2013.

http://news.softpedia.es/Los-investigadores-encuentran-dos-fallos-que-permiten-eludir-el-sandbox-en-IBM-SDK-para-Java-7-0-391838.html