El parche Java de Oracle contiene nuevos agujeros, los investigadores advierten

Oracle lanzó Java 7 Update 11 el domingo pasado como una actualización de seguridad de emergencia para bloquear un exploit de día cero usado por ciberdelincuentes para infectar computadoras con malware.

Security Explorations confirmado con éxito que aún se puede lograr una derivación de sandbox de seguridad de Java completa bajo Java 7 Update 11 (JRE versión 1.7.0_11-b21) mediante la explotación de dos nuevas vulnerabilidades descubiertas por los investigadores de la compañía, Adam Gowdiak, el fundador de la compañía, dijeron el viernes en un mensaje enviado a la lista de distribución de Full Disclosure. Las vulnerabilidades fueron reportadas a Oracle el viernes, junto con el código de explotación de prueba de concepto, dijo.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

De acuerdo con la política de divulgación de Security Explorations, los detalles técnicos sobre las vulnerabilidades no serán divulgados públicamente hasta que el proveedor emita un parche.

vulnerabilidades no relacionadas

Investigadores de la firma de seguridad Immunity que analizaron el exploit que utilizan los cibercriminales desde la semana pasada concluyeron que también combinaba dos vulnerabilidades para lograr un escape de sandbox de Java. Sin embargo, más tarde dijeron en una publicación de blog que Java 7 Update 11 solo se dirigió a uno de ellos y advirtió que si los atacantes encuentran otra vulnerabilidad para reemplazar el parcheado, se puede crear un nuevo exploit.

Las vulnerabilidades descubiertas por Security Explorations son aparte del que no fue parcheado por Oracle en Java 7 Update 11, Gowdiak dijo el viernes por correo electrónico.

Algunos investigadores de seguridad, incluidos los del Equipo de Preparación para Emergencias Informáticas (US-CERT), continuaron aconsejando a los usuarios desactivar el Java plug-in del navegador a pesar del lanzamiento de Java 7 Update 11, citando la preocupación de que puedan ocurrir ataques similares en el futuro.

"Definitivamente hay algo preocupante con respecto a la calidad del código Java SE 7", dijo Gowdiak. Esto podría sugerir la falta de un programa de ciclo de desarrollo de seguridad adecuado para Java u otros problemas que sean internos de Oracle, dijo.

Dicho esto, el hecho de que Java 7 Update 11 solicite la confirmación de los usuarios antes de permitir que los applets de Java sean ejecutado dentro de los navegadores es definitivamente un paso en la dirección correcta y podría bloquear muchos ataques, dijo Gowdiak.