Descubren vulnerabilidad en Java Descubren vulnerabilidad en Java

Y deshabilitar el plug-in no sirve de nada

Descubren vulnerabilidad en Java

por

Y deshabilitar el plug-in no sirve de nada

Esta ha sido la semana de las vulnerabilidades, primero los con los PDFs y ahora resulta que dos ingenieros, Tavis Ormandy (de Google) y  Ruben Santamarta (de Wintercore) han expuesto detalles sobre una vulnerabilidad en la tecnología Java que podría ser ocupada para comprometer equipos si estos visitan una página web con código malicioso.

La causa del problema reside en el Java Web Start framework, que permite a los desarrolladores una forma fácil de crear aplicaciones Java. Lamentablemente deshabilitar el plug-in de Java no ofrecería protección ninguna frente a un ataque, según explica Ormandy:

La herramienta otorga tan solo una mínima validación del parámetro URL, lo que nos permite pasar parámetros arbitrarios a la utilidad javaws [Java Web Start], la que provee suficiente funcionalidad vía comandos de linea para permitir la explotación de este error”

Ormandy dice haber contactado a Sun para advertirles del gol que se les había pasado problema, pero ellos consideraron que no valía la pena hacer un parche express solo por esto.

Picado Preocupado, Ormandy da ejemplos y explica con detalles como funciona la vulnerabilidad, para tratar de forzar a la gente de Sun a corregir el problema.

Esta vulnerabilidad afecta a todas las versiones de Java desde Java SE 6 actualización 10 para Windows y a todos los navegadores más conocidos como Firefox, Internet Explorer y Chrome según la gente de  Kaspersky.

Link: Java flaw exposes Windows users to attacks (CNET News)