Error detectado en Java Runtime Environment tanto en servidor como sobremesa
Los analistas de la firma de investigaciones de seguridad polaca, Security Explorations, afirman haber encontrado una nueva vulnerabilidad que afecta a las últimas versiones desktop y servidor de JRE (Java Runtime Environment).
El fallo parece estar localizado en el componente de Java, Reflection API, y puede ser empleado para superar completamente el filtro de seguridad Java y ejecutar código arbitrario en los ordenadores, asegura el CEO de la firma de análisis Security Explorations en un email, Adam Gowdiak. El fallo afecta a todas las versiones de Java 7, incluyendo la actualización 21 que fue presentada por Oracle el pasado martes y al nuevo paquete Server JRE que se anunció al mismo tiempo.
Como sugiere su nombre, Server JRE es una versión del entorno Java Runtime diseñado para su despliegue en servidores. Según Oracle, el servidor JRE no contiene el plug-in al browser Java, un objetivo frecuente de ataques Web, el componente auto-actualizado o el instalador encontrado en el paquete habitual de JRE.
Aunque Oracle está preocupado porque las vulnerabilidades de Java puedan ser explotadas en despliegues de servidores introduciendo virus en las APIs (interfaz de programación de aplicaciones) y en sus componentes vulnerables, su mensaje ha sido que normalmente la mayoría de vulnerabilidades Java solo afecta al plug-in del navegador, por lo que la posibilidad de que se vieran afectados los servidores era improbable, en palabras de Gowdiak.
“Intentamos que los usuarios tomen conciencia de que los consejos de Oracle no fueron correctos, respecto al impacto de las vulnerabilidades Java SE”, subraya Gowdiak. “Probamos que los fallos analizados por Oracle solo en el complemento del navegador, también afectan al servidor”, explica el experto.
El pasado mes de febrero, Security Explorations verificó un nuevo fallo en el servidor JRE, pero lo consideraron una vulnerabilidad de los componentes y APIs Java que podían ser utilizados para cargar o ejecutar código Java no seguro en los servidores.
Si existe un vector de ataque en uno de los componentes mencionados en la Guía 3-8 del lenguaje de programación de Oracle, los despliegues de servidores Java pueden ser atacados mediante una vulnerabilidad como la reportada el pasado martes por Oracle, indica Gowdiak.
El investigador está en desacuerdo con la forma en que se ha implementado 
Reflection API, ya que este componente ha sido el origen de múltiples vulnerabilidades hasta el momento. “Reflection API no se ajusta al modelo de seguridad de Java y, si se utiliza de forma incorrecta, puede provocar fácilmente problemas de seguridad”, insiste.
“Este nuevo fallo es un ejemplo típico de la debilidad de Reflection API”, subraya Gowdiak. “Esta vulnerabilidad no debería aparecer en el código de Java 7, un año después de que la propia Oracle detectara un problema de seguridad genérico relativo a Reflection API”, concluye.
