Una vulnerabilidad de Java abre una nueva puerta a los ataques vía web
Se ha descubierto una nueva vulnerabilidad en el entorno de ejecución Java (Java Runtime Environment) que ofrece a los ciberdelincuentes una vía para lanzar ataques tipo “drive-by-download”, caracterizados por propagarse masivamente entre las víctimas que acceden a un sitio web infectado en el que se ha camuflado el código dañino.
Esta vulnerabilidad, aprovechable para comprometer la seguridad online de los usuarios de todas las versiones de Windows y de los principales navegadores web, ha sido calificada por G Data como extremadamente grave.
Para protegerse, según G Data, no vale con deshabilitar java-script. La compañía defiende que, hasta que la brecha haya sido convenientemente parcheada, los usuarios deben modificar de forma manual la configuración de su navegador.
G Data ha explicado cuál es la modificación adecuada para los dos navegadores más utilizados: Microsoft Internet Explorer y Mozilla Firefox. En el primer caso, es necesario impedir la ejecución del control ActiveX ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Las instrucciones sobre la forma de hacerlo se encuentran en http://support.microsoft.com/kb/240797.
En el caso de Firefox, los usuarios habrán de hacer clic sobre la pestaña “herramientas”, y, en el menú desplegable que a continuación se mostrará, volver a hacer clic en “complementos”. Después deberán pulsar “desactivar” en “Java Deployment Toolkit”.
La vulnerabilidad en cuestión se origina en el plug-in Java Deployment Toolkit que se instala automáticamente desde la versión 6 Update 10 en navegadores como Microsoft Internet Explorer, Mozilla Firefox o Google Chrome, y permite al atacante ejecutar el lanzador web de Java (Java Web Start Launcher) con parámetros totalmente arbitrarios.
