Avisos 29 de August, 2012

Vulnerabilitat 0-day a la màquina virtual Java (actualització)

S'han descobert llocs web amb contingut maliciós que aprofiten una nova vulnerabilitat crítica al programari de màquina virtual Java. Aquesta s'està utilitzant en atacs dirigits d'àmbit limitat, però s'espera que s'estengui als principals kits coneguts d'explotació.

Actualització 29/8/2012: s'ha publicat un exploit funcional a l'eina Metasploit.

Impacte

Execució remota de codi.

Productes afectats

  • Màquina virtual Java versió 7 (1.7), actualització 6 i anteriors.

Nota: No hi ha constància de que la versió 6 estigui afectada.

Solució

Actualment Oracle, que distribueix la implementació de Java més utilitzada, no ha publicat cap avís de seguretat, actualització o pegat que solucioni la vulnerabilitat.

Com a mesura de mitigació, es recomana, per aquest ordre:

  • Desinstal·lar Java, si no és imprescindible per al seu ús. És especialment recomanable des instal·lar versions antigues i deixar només la més recent.
  • Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes.
  • Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris.

Detall

Hi ha informació sobre una possible implementació de l'exploit que aprofita la vulnerabilitat com a mòdul disponible per la plataforma d'explotació Metasploit. En aquest cas, la seva explotació seria trivial amb el conseqüent increment del risc associat.

Actualització 29/8/2012: l'exploit funcional ja ha estat inclòs en l'última versió de Metasploit, i està disponible per a baixar de forma gratuïta. S'espera que la difusió de l'ús d'aquesta vulnerabilitat per realitzar infeccions amb codi maliciós esdevingui massiva.

Actualització 29/8/2012: l'identificador CVE assignat a aquesta vulnerabilitat és CVE-2012-4681.

Referències

Publicat a: Avisos