Seguridad

Oracle conocía las vulnerabilidades de Java 7 explotadas desde hace meses

Según unos investigadores, Oracle fue notificada en abril sobre las vulnerabilidades de día 0 en Java 7 explotadas ahora por los hackers.

La firma polaca de seguridad Security Exploration informó a Oracle a comienzos del pasado abril de la existencia de 19 problemas de seguridad en Java 7, entre las que se incluían las dos vulnerabilidades de día 0 sin parchear que ahora están siendo explotadas por los hackers para infectar a los ordenadores con malware, explica Adam Gowdiak, fundador y consejero delegado de dicha compañía, vía email. Y durante los siguientes meses, siguieron reportando vulnerabilidades en Java 7 hasta un total de 29.

Según los expertos de otra empresa de seguridad, Immunity, los exploits en Java publicados a comienzos de esta semana e integrados en el toolkit de ataque de Blackhole, hacen uso de dos vulnerabilidades Java y no de una como se había creído en un principio. “El primer agujero fue utilizado para obtener una referencia a la clase sun.awt.SunToolkit, restringido a applets, mientras que el segundo hace una llamada al método estático y público getField de SunToolkit utilizando reflexión con un caller de confianza que evita las medidas de seguridad”, explica Esteban Guillardoy, desarrollador de Immunity, en su blog.

Hasta que ambas vulnerabilidades, una en la clase ClassFinder y otra en el MethodFinder, se detectaron y reportaron por Security Explorations en abril, los exploits de prueba de concepto proporcionados por la compañía a Oracle combinaban ambas con otros bugs, no juntas, explicaba Gowdiak. “El modo en el que la clase SunToolkit y su método getField se utilizó para lograr pasar totalmente el sandbox JVM (Java Virtual Machine) es diferente a lo que habíamos demostrado a Oracle”, añade Gowdiak.

Por esta razón, el investigador cree que el nuevo exploit es, probablemente, fruto de alguien que ha descubierto las mismas vulnerabilidades, más que tratarse de una fuga de información en algún punto del proceso de reporte de vulnerabilidades. Sin embargo, nada puede excluirse al 100%, según Gowdiak. “No sabes ni con quién ni de qué forma o detalle comparte Oracle información de Vulnerabilidades en java 7vulnerabilidades”.

Según un informe de Oracle recibido el 23 de agosto, la compañía pretende solucionar las dos vulnerabilidades en su actualización de parches críticos (CPU, por su siglas en inglés) previsto para Octubre, junto a otras 17 brechas en Java 7 reportadas por Security Explorations, apunta el CEO de la compañía polaca.

Oracle emite parches de seguridad cada cuatro meses. El último se lanzó en junio y solo abordaba tres de las cuestiones de seguridad de las que informó la firma de seguridad. “Aunque estamos en contacto con Oracle y el proceso de comunicación ha sido bastante fluido, no sabemos por qué Oracle ha dejado estas brechas tan serias para su CPU de Octubre”, manifiestan desde Security Exploration, que concluyen diciendo que no son “conscientes en los planes de parches de Oracle, si bien esperamos que lancen una solución para estos problemas tan pronto como sea posible”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper