• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 16

    Vulnerabilidad 0-day en Java

    [IMG]http://i43.*******.com/2zzm51f.jpg[/IMG][IMG]http://i41.*******.com/2rdkmpv.jpg[/IMG] Hace unas horas investigadores en seguridad encontraron una vulnerabilidad 0-day en la plataforma Java, que puede ejecutar código remoto desde cualquier navegador que tenga instalado el plugin de Java. Para aquellos que no lo ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Vulnerabilidad 0-day en Java

      [IMG]http://i43.*******.com/2zzm51f.jpg[/IMG][IMG]http://i41.*******.com/2rdkmpv.jpg[/IMG]

      Hace unas horas investigadores en seguridad encontraron una vulnerabilidad 0-day en la plataforma Java, que puede ejecutar código remoto desde cualquier navegador que tenga instalado el plugin de Java.

      Para aquellos que no lo sepan, una vulnerabilidad 0-day es aquella que es descubierta antes que exista un parche para remediarla y, por lo tanto puede ser explotada sin existir controles específicos para la protección del usuario. Cuando una vulnerabilidad 0-day se hace masiva, su tasa de éxito puede ser muy elevada y puede ser aprovechada por gusanos (llamada wormeable vulnerability) para aumentar su propagación en miles de usuarios y aprovecharse de las ventajas que dan las redes interconectadas.

      En esta oportunidad, el reporte en seclists.org informa que un problema en la validación de parámetros puede permitir a un atacante crear un sitio web que explote dicha vulnerabilidad, con unas pocas líneas de programación. Es decir, no es una vulnerabilidad difícil de explotar, lo cual agrava el descubrimiento y aumenta el riesgo para los usuarios.

      Se ha comprobado que es posible explotar la vulnerabilidad en los sistemas operativos Microsoft Windows (desde la versión 2000 hasta la 7, inclusive) y Linux que tengan instalado el plugin Java SE Runtime Environment 6 Update 10 en adelante (la actual es el Update 19). MAC OS es la única plataforma desde donde no es posible explotar la vulnerabilidad.

      ¿Qué puede hacer el usuario? Por el momento recomendamos seguir dos pasos. En primer lugar, comprobar si son vulnerables. Para ello, pueden visitar el enlace que dejo a continuación y verificar si en sus sistemas se ejecuta la calculadora de Windows (importante: el enlace es inofensivo, sólo es para probar si un sistema es o no vulnerable):
      Java Deployment Toolkit Test Page

      De nuevo: si al abrir el enlace NO se abrió la calculadora, su sistema no es vulnerable, puede seguir navegando tranquilo (al menos respecto a esta vulnerabilidad). Si se abrió la calculadora, es recomendable pasar al segundo paso, aplicar un workaround, procedimiento que permiten no exponerse a una vulnerabilidad.

      A pesar de que Sun ya ha sido notificado, la empresa anunció que sacará un parche de seguridad pero que el mismo no será prioritario, y mientras tanto no existe una solución definitiva al problema. Para eso existen los workarounds través de modificaciones en el sistema que no son las más eficientes, pero que solucionan el problema temporalmente. Cuando aparezca el parche, es recomendable volver atrás los cambios del workaround y aplicar la actualización en la aplicación.

      En esta oportunidad, el procedimiento para Microsoft Windows consiste en deshabilitar temporalmente un Killbit, tal como indica el siguiente procedimiento de Microsoft: Cómo impedir la ejecución de un control ActiveX en Internet Explorer.

      Se les recuerda a los lectores que no es recomendable aplicar el workaround si no son vulnerables, así como es importante que lo apliquen a la brevedad si han comprobado ser vulnerables.

      Ante este tipo de incidentes, donde el fabricante aún no posee un parche, es importante que los responsables de la seguridad en las redes estén al tanto para poder implementar procedimientos adecuados para prevenir inconvenientes mayores y no estar expuestos a estas amenazas, reforzando la importancia de complementar las tecnologías de seguridad con educación tanto del usuario final, como de los responsables de proveer la seguridad en los sistemas.

      Fuente: Blog ESET Latinoamerica
      Última edición por Velcro fecha: 10/04/10 a las 09:25:27

    2. #2
      Usuario Avatar de PERG
      Registrado
      oct 2007
      Ubicación
      Chile
      Mensajes
      14

      Re: Vulnerabilidad 0-day en Java

      Gracias VELCRO por la información, ya revisé mis PCs y no apareció por ningún lado la calculador. Saludos

    3. #3
      Usuario Avatar de ZORROSUR
      Registrado
      feb 2008
      Ubicación
      Argentina
      Mensajes
      319

      Re: Vulnerabilidad 0-day en Java

      Gracias Velcro! Soy un fortin.

    4. #4
      Usuario Avatar de kavaluchy
      Registrado
      mar 2008
      Ubicación
      Venezuela
      Mensajes
      7

      Re: Vulnerabilidad 0-day en Java

      hola revise mi sistema y resulto vulnerable... como aplico el workaround? gracias

    5. #5
      Usuario Avatar de Fabricio_1996
      Registrado
      mar 2010
      Ubicación
      Uruguay
      Mensajes
      111

      Re: Vulnerabilidad 0-day en Java

      Hola!
      Bueno hice lo que decía ahí para ver si soy vulnerabe pero cuando hago click aparece un error que dice Unable to access jarfile \\lock.cmpxchg8b.com/calc.jar, al mismo tiempo aparece una ventanita naranja de Java de que está buscando haber si soy vulnerable y luego desaparece.
      La calculadora no me aparece asique creo que no soy vulnerable pero que significa ese error??
      Gracias por la info!

    6. #6
      Usuario Avatar de silentxhate
      Registrado
      dic 2009
      Ubicación
      Chile
      Mensajes
      270

      Re: Vulnerabilidad 0-day en Java

      Hice la prueba con:

      Mozilla firefox 3.6.3 y me salio solo una pagina en blanco indicandome que faltaban unos plugins

      Con Opera 10.51 solo me salio una pagina en blanco

      Y con Internet explorer 8 tambien solo me salio la pagina en blanco

      ¿Eso quiere decir que estoy protegido contra esta vulnerabilidad? no me salio la calculadora

    7. #7
      Usuario Avatar de CCesar2
      Registrado
      jul 2009
      Ubicación
      Lima - Perú
      Mensajes
      1.948

      Re: Vulnerabilidad 0-day en Java

      Interesante.

      Gracias por decirnos que hacer, lo mas importante.

      Un saludo

    8. #8
      Usuario Avatar de Fabricio_1996
      Registrado
      mar 2010
      Ubicación
      Uruguay
      Mensajes
      111

      Re: Vulnerabilidad 0-day en Java

      Cita Originalmente publicado por silentxhate Ver Mensaje
      Hice la prueba con:

      Mozilla firefox 3.6.3 y me salio solo una pagina en blanco indicandome que faltaban unos plugins

      Con Opera 10.51 solo me salio una pagina en blanco

      Y con Internet explorer 8 tambien solo me salio la pagina en blanco

      ¿Eso quiere decir que estoy protegido contra esta vulnerabilidad? no me salio la calculadora
      Con el Mozilla Firefox me pasó lo mismo pero como solo me apareció ese error y una ventanita del Java creo que no soy vulnerable :)
      Salu2!

    9. #9
      Ex-Colaborador Avatar de @DavidLujan
      Registrado
      abr 2009
      Ubicación
      Argentina
      Mensajes
      2.707

      Re: Vulnerabilidad 0-day en Java

      Hola Velcro

      Gracias por la información.

      Segun leí por la web, el desactivar el plugin desde el navegador no sirve para protegerse de la vulnerabilidad ¿ Esto quiere decir que hay que modificar el registro para aplicar el workarounds ? Porque solo parece una solución fiable para usuarios avanzados y muy complicado para el usuario común.

      Hice el test y me resulto igual a lo que le paso a Fabricio_1996 ¿ Significa que no es vulnerable ? pareciera que si, pero me queda la duda, a los demás que pasaron el test que les aparecio ?...

      Saludos!

    10. #10
      Usuario Avatar de silentxhate
      Registrado
      dic 2009
      Ubicación
      Chile
      Mensajes
      270

      Re: Vulnerabilidad 0-day en Java

      Hola a mi personalmente me paso lo siguiente:




      Por lo que veo NO soy vulnerable porque no abrio la calculadora
      Si se les abrio la calculadora SI son vulnerables y hay que seguir los pasos recomendados en el tema

    Página 1 de 2 12 ÚltimoÚltimo