Los investigadores identifican una vulnerabilidad de Reflection API en Java 7 Update 21

Según Adam Gowdiak, el director ejecutivo y fundador de la compañía, el fallo afecta no sólo al plugin de JRE, sino también al recién anunciado Server JRE

Ha pasado menos de una semana desde que Oracle lanzó su Critical Patch Update de abril de 2013 para Java y los investigadores ya han identificado una vulnerabilidad que afecta a la última versión del software.

La empresa polaca Security Explorations ha descubierto un problema de Redirección de API – apodado «Issue 61» – que afecta a todas las variantes de Java 7, incluyendo la Actualización 21.

«La vulnerabilidad puede ser utilizada para lograr eludir completamente el entorno de seguridad de Java en un sistema. La explotación exitosa en un escenario de navegador web requiere interacción apropiada del usuario (el usuario debe aceptar el riesgo de ejecutar una aplicación Java potencialmente maliciosa cuando se muestra una ventana de advertencia de seguridad)», dijo el experto a Softpedia.

También cabe señalar que éste es un agujero de seguridad completamente nuevo que no se basa en ningún fallo descubierto previamente.

Un informe de vulnerabilidad y una prueba de concepto han sido enviados a Oracle. Gowdiak dice que la empresa no ha confirmado el problema, pero cree que no debería tardar más de un día en hacerlo, teniendo en cuenta que la reproducción del fallo consiste simplemente en ejecutar un código Java en un navegador web.

«En abril de 2012, hemos enviado nuestro primer informe de vulnerabilidad a Oracle señalando múltiples problemas de seguridad en Java SE 7 y en Reflection API en particular. Ha pasado un año desde entonces y para nuestra verdadera sorpresa, todavía hemos descubierto una de las más sencillas y más poderosas instancias de las vulnerabilidades basadas en Java Reflection API», señaló Gowdiak.

«Parece que Oracle se centró principalmente en eliminar los fallos potencialmente peligrosos de Reflection API en el espacio de las clases ‘permitidas’. Si es así, no es de extrañar que Issue 61 fue pasada por alto.»

Fuente