La semana pasada fue un tanto movida para los responsables de Oracle debido al grave problema de seguridad que existía en la plataforma Java, más concretamente en la versión 7.
Investigadores en seguridad han descubierto una nueva vulnerabilidad en la plataforma que ha aparecido como consecuencia de la actualización que fue publicada a finales de la semana pasada para tratar de solucionar los graves problemas de seguridad.
En este nuevo agujero de seguridad, el atacante puede esquivar con cierta facilidad la “SandBox” de la máquina virtual de Java.
La aparición de este nuevo problema de seguridad pocos días después de haber “parcheado” Java 7 hace ver que las cosas no se están haciendo bien por parte de Oracle.
La anterior vulnerabilidad detectada tenía tal magnitud que Oracle se vio obligada a romper su política de sacar actualizaciones cada 4 meses. Desde Oracle añadieron que en esta actualización también se solucionaron otras tres vulnerabilidades que, aunque es probable que no hayan sido explotadas por terceras personas, podrían haber agravado la magnitud del agujero al cual se ha querido dar solución.
¿Solución o chapuza?
La solución que han dado desde Oracle con la actualización ha sido la de suprimir los métodos de la clase sun.awt.SunToolkit que eran los que permitían a una tercera persona hacerse con los permisos necesario para inyectar código malicioso en el sistema y ejecutar e instalar cualquier tipo de programa en el ordenador afectado.
A pesar de haber solucionado el problema, han creado otro nuevo agujero de seguridad ya que, ahora es mucho más fácil saltarse la SandBox de la máquina virtual de Java y poder ejecutar cualquier tipo de código o utilizar muchos exploits para tratar de dañar el equipo del usuario
Desde Oracle no han querido entrar en comentarios
Todavía no se sabe si esta semana también tendremos una nueva actualización de Oracle o si tendremos que esperar a la de Octubre. Se trata de un agujero de seguridad grave. Algunos investigadores han tratado de ponerse en contacto con la empresa pero ésta no ha querido verter ningún tipo de opinión acerca de este nuevo problema que se trata de un claro desacierto por parte de Oracle.
Fuente | PCWorld
LEIDO EN :http://www.redeszone.net/2012/09/03/nueva-vulnerabilidad-encontrada-en-java-7-tras-la-actualizacion/
Relacionado : https://foro.elhacker.net/noticias/java_6_update_35_y_java_7_update_7_corrigen_graves_vulnerabilidades_de_seguridad-t370247.0.html