Investigadores: Falla grave en Java Runtime Environment para equipos de escritorio, servidores

Cazadores de vulnerabilidades de Java de la firma de investigación de seguridad polaca Security Explorations afirman haber encontrado una nueva vulnerabilidad que afecta a las últimas versiones de escritorio y servidor de Java Runtime Environment (JRE).

La vulnerabilidad se encuentra en el componente Reflection API de Java y puede usarse para eludir completamente el entorno limitado de seguridad de Java y ejecutar código arbitrario en las computadoras, dijo el lunes Adam Gowdiak, CEO de Security Explorations. un correo electrónico enviado a la lista de correo completa de divulgación. La falla afecta a todas las versiones de Java 7, incluida la actualización 21 de Java 7 que fue lanzada por Oracle el martes pasado y el nuevo paquete Server JRE lanzado al mismo tiempo, dijo.

Como su nombre lo indica, el servidor JRE es una versión de Java Runtime Environment diseñado para implementaciones de servidores Java. Según Oracle, el servidor JRE no contiene el complemento del navegador Java, un objetivo frecuente para exploits basados ​​en la web, el componente de actualización automática o el instalador que se encuentra en el paquete JRE regular.

[Más información: cómo para eliminar el malware de su PC con Windows]

Aunque Oracle es consciente de que las vulnerabilidades de Java también pueden explotarse en implementaciones de servidores mediante el suministro de entradas maliciosas a API (interfaces de programación de aplicaciones) en componentes vulnerables, su mensaje ha sido que la mayoría de Java las vulnerabilidades solo afectan el complemento del navegador Java o los escenarios de explotación para fallas de Java en servidores son improbables, dijo Gowdiak el martes por correo electrónico.

"Intentamos informar a los usuarios que los reclamos de Oracle eran incorrectos con respecto al impacto de Java Vulnerabilidades de SE ", dijo Gowdiak. "Probamos que los errores evaluados por Oracle que afectaban solo al complemento de Java también podían afectar a los servidores".

En febrero, Security Explorations publicó un exploit de prueba de concepto para una vulnerabilidad de Java clasificada como plug-in. basado en que podría haberse utilizado para atacar Java en servidores que usan el protocolo RMI (invocación remota de métodos), dijo Gowdiak. Oracle se dirigió al vector de ataque RMI en la actualización de Java la semana pasada, pero existen otros métodos para atacar las implementaciones Java en los servidores, dijo. Los investigadores de

Security Explorations no han verificado la explotación exitosa de la nueva vulnerabilidad que encontraron contra Server JRE. pero enumeraron las API y los componentes Java conocidos que podrían usarse para cargar o ejecutar código Java no confiable en los servidores.

Si existe un vector de ataque en uno de los componentes mencionados en la Pauta 3-8 de las "Pautas de codificación segura para Java de Oracle" Lenguaje de programación: "Las implementaciones de servidores Java pueden ser atacadas a través de una vulnerabilidad como la que se reportó el lunes a Oracle", dijo Gowdiak.

El investigador tuvo problemas con la forma en que Reflection API fue implementada y auditada por cuestiones de seguridad en Java 7, porque el componente ha sido la fuente de múltiples vulnerabilidades hasta el momento. "La Reflection API no se ajusta muy bien al modelo de seguridad de Java y, si se usa incorrectamente, puede provocar problemas de seguridad", dijo.

Esta nueva falla es un ejemplo típico de debilidad de Reflection API, dijo Gowdiak. Esta vulnerabilidad no debería estar presente en el código de Java 7 un año después de que Security Explorations informara a Oracle un problema de seguridad genérico relacionado con Reflection API, dijo.