Detectan fallos en la comprobación de certificados por parte de Java
Por defecto, el plug-in incluido en los navegadores no comprueba el estado de los certificados digitales, admitiéndolos como válidos incluso cuando han sido robados y publicados en listas de revocación.
Hace unas semanas, Oracle introducía cambios en el sistema de seguridad del plug-in de Java para navegadores con el objetivo de solicitar permiso a los usuarios antes de ejecutar aplicaciones sin firmar. Algo que ha tenido un resultado final totalmente inesperado.
Y es que, según se ha descubierto ahora, Java no entorpece de manera clara la tarea de los ciberdelincuentes a la hora de colar malware en ordenadores de terceros.
Esto es así porque, por defecto, el plug-in no se lanza a comprobar el estado de los certificados digitales utilizados para firmar aplicaciones Java alojadas en sitios web, según informa Ars Technica.
O, dicho de otra manera, el software de Oracle admite ciertos certificados como confiables incluso cuando éstos han sido robados y publicados en bases de datos de revocación.
“Java cree que el certificado robado utilizado es 100% válido y se debe confiar en él”, dice Jindrich Kubec, director de inteligencia de amenazas en Avast. Por el contrario, “con CRL/OCSP quedaría marcado por no cumplir los requisitos predefinidos para ser confiable y, probablemente, presentaría diálogos completamente diferentes o simplemente no permitiría ejecutar el applet en absoluto”.
Como consecuencia, es posible que los usuarios de Java se encuentren desinformados y acaben instalando software malicioso a través de archivos JAR firmados.
Otro experto en seguridad, Eric Romang ha detectado este patrón de acción en un diccionario online de alemán que presentaba el fichero JAR como actualizado y firmado por la compañía Clearesult Consulting. La compañía es real y la firma otorgaba al archivo una apariencia de seguridad capaz de saltarse el bloqueo de applets no firmados. Sin embargo, había sido firmado con una clave privada robada y anulada el 7 de diciembre de 2012.
Como el problema no era detectado, al pulsar en ejecutar la aplicación se instalaba en el equipo y, con ella, el malware adjunto.