Descubren una vulnerabilidad en Java que permite superar la sandbox
Investigadores de seguridad han descubierto una nueva vulnerabilidad que afecta a las versiones 5, 6 y 7 de Java Standard Edition que permite a los atacantes superar las defensas de la sandbox.
Un grupo de investigadores ha descubierto un nuevo fallo Día Cero que afecta a todas las versiones soportadas de Oracle Java. La vulnerabilidad fue anunciada la semana pasada aunque sin desvelarse los detalles técnicos de la misma. Adam Gowdiak, CEO de Security Explorations, empresa que descubrió el fallo, aseguraba que afectaba a versiones 5, 6 y 7 de Java Standard Edition.
El fallo, además, se ha confirmado para los navegadores Firefox, Google Chrome, Internet Explorer, Opera y Apple Safari, mientras que Oracle asegura que ya trabaja en un parche que se lanzará con una actualización crítica de Java.
Java es uno de los programas preferidos de los hackers por su tremenda expansión, lo que ha llevado a muchos a pedir que la tecnología se desactive si no se utiliza. Concretamente se pide que, para reducir el riesgo, el usuario sólo instale plug-ins cuando sea necesario, y los desactive o desinstale cuando no sean necesarios. Aunque parezca exagera, lo cierto es que los exploits para Java se han convertido en los elementos básicos de kits de ataque como Black Hole y otros muchos.
Debido a la cantidad de gente que utiliza Java, el impacto potencial de la vulneabilidad Día Cero descubierta, podría afectar a gran cantidad de desktops. Además, la gravedad es crítica debido a que el fallo es capaz de superar la seguridad de la Sandbox, un mecanismo de seguridad que aísla los procesos e impide que se hagan cambios en el sistema, explican en eWeek.com.
Al superar la sandbox, una aplicación maliciosa podría ejecutar un proceso que permita instalar un programa, cambiarlo o borrar datos.