Después de los quebraderos de cabeza que ha traído la vulnerabilidad que fue detectada a principios de septiembre y que ponía en grave peligros los equipos que tuviesen instalada la versión 7.
Incluso días después de haber puesto a disposición de los usuarios de Java la actualización que solucionaba el problema, se pudo comprobar la actualización creaba nuevos agujeros de seguridad.
Hoy hemos podido saber que en el día de ayer, Adam Gowdiak, un investigador polaco relacionado con temas de seguridad encontró un nuevo agujero de seguridad que hace referencia también a la sandbox del entorno.
Una vez más, queda patente que Java va de mal en peor desde que Oracle se hizo con el producto.
El investigador explica que esta vulnerabilidad afecta a las versiones SE 5, 6 y 7 y gracias a ella se puede saltar la sandbox de estos entornos de desarrollo. El investigador indica que este agujero de seguridad es especial porque se consigue violar una restricción de la máquina virtual.
Las pruebas y las versiones afectadas
Tratándose de este agujero de seguridad, las versiones que actualmente están afectadas son:
- Java SE 5 Update 22 (build 1.5.0_22-b03)
- Java SE 6 Update 35 (build 1.6.0_35-b10)
- Java SE 7 Update 7 (build 1.7.0_07-b10)
En todas las versiones mencionadas con anterioridad se han realizado pruebas satisfactorias, comprobando que en un sistema de Windows 7, tanto de 32 como de 64 bits, el agujero de seguridad permite saltarse la sandbox.
Además, en estos sistemas se realizó la prueba con varios navegadores, revelando que todas las versiones de los navegadores que actualmente pueden tener los usuarios domésticos instalados en sus ordenadores están afectadas por el fallo y son vulnerables, evidentemente, por culpa del agujero de seguridad que tiene el entorno de Oracle.
Este es el listado de navegadores afectados junto con la versión:
- Firefox 15.0.1
- Internet Explorer 9.0.8112.16421 (update 9.0.10)
- Google Chrome 21.0.1180.89
- Opera 12.02 (build 1578)
- Safari 5.1.7 (7534.57.2)
Billones de usuarios afectados
Teniendo en cuenta la popularidad que tiene Java y que no sólo es utilizado en los ordenadores personales o para desarrollar aplicaciones software, sino que se encuentra en dispositivos como móviles, routers o incluso reproductores multimedia, Gowdiak cree que Oracle deberá mejorar la imagen de Java que se ha ido deteriorando debido en parte a los problemas de seguridad está teniendo.
Gowdiak afirma que el código de prueba demostrando donde está la vulnerabilidad en la sandbox, junto con el exploit creado por el mismo para llevar a cabo la prueba han sido remitidos a Oracle para que encuentren una solución lo más pronto posible para que los usuarios no se vean afectados.
Fuente | The H Security