Java, incapaz de sacudirse los problemas de seguridad

El equipo de investigación de Security Explorations ha descubierto una nueva brecha en la maltrecha armadura de Java.

Se trata de una vulnerabilidad presente en una de las últimas versiones del lenguaje de programación que permitiría a atacantes potenciales ejecutar código Java sin firmar en sistemas Windows. Y esto, a pesar de los ajustes de control introducidos por Oracle.

“Nuestra prueba de concepto que ilustra el Problema 53 se ha ejecutado con éxito en el entorno del último Java SE 7 Update 11 (versión JRE 1.7.0_11-b21) con sistema operativo Windows 7 y configuraciones de seguridad ‘muy altas’ del Panel de Control de Java”, explica Adam Gowdiak, director ejecutivo de Security Explorations en un mensaje que recoge Full Disclosure.

A partir de esta décima actualización de Java SE 7, Oracle decidió añadir toda una nueva serie de controles, como por ejemplo la opción de desactivar cualquier aplicación Java ejecutable en navegadores web o la posibilidad de establecer un nivel de seguridad personalizado para los applets no firmados, aplicaciones Java Web Start y JavaFX integradas.

Además, se implementaron nuevos cuadros de diálogo para advertir a los usuarios cuando JRE es inseguro.

Todas estas mejoras, dice Gowdiak, “no evitan en absoluto las vulnerabilidades silenciosas”.

“Los usuarios que requieren contenido Java en su navegador web tienen que confiar en una tecnología Click to Play implementada por varios proveedores de navegadores con el fin de mitigar el riesgo de exploit de un plug-in de Java”, explica.

Al parecer, Oracle ya ha sido alertada de este problema y está investigando su impacto y posibles soluciones.