Vulnerabilidad 0-day en Java 7
Fecha de Publicación: 2012-08-27 11:30:00
Sistemas Afectados
La vulnerabilidad explotada hasta el momento afecta a Java 7 (1.7) Update 0-6. No afecta a la versión 6 de Java ni versiones inferiores. Funciona en todas las versiones de Internet Explorer, Firefox y Opera excepto en Chrome.
Descripción
Se ha descubierto una vulnerabilidad 0-day que afecta a Java 7 (1.7) Update 0-6.
Severidad:
GRAVE
Solución
Por el momento no existe ningún parche oficial. Se recomienda desactivar Java en el navegador hasta que se solucione la vulnerabilidad.
Michael 'mihi' Schierl (schierlm at gmx.de) propone una solución temporal (no oficial) con la que mitigar el exlpoit actual en instalaciones con Java 7. Dicha solución consiste en crear un sub-directorio dentro de lib (dentro del directorio de instalación de Java 7), nombrarlo como endorsed, copiar el parche temporal en dicho directorio y reiniciar el navegador. Para más información sobre esta solución así como para solicitar dicho parche consulte DeependResearch. No obstante se recomienda deshabilitar java hasta que exista un parche oficial.
Detalle
Aunque el número de ataques reportados hasta el momento ha sido relativamente bajo (en FirEye se describe el exploit utilizado en algunos ataques dirigidos), es probable que su número aumente debido a la naturaleza de la vulnerabilidad.
Actualización: según informan en Rapid7, habrá un exploit funcional para Metasploit en un par de horas.
Referencias
Vulnerabilidad 0-day en Java 7.
http://blog.sucuri.net/2012/08/java-zero-day-in-the-wild.html
http://www.informationweek.com/security/attacks/java-zero-day-attack-could-hit-enterpris/240006341
Saludos
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.