Avisos 03 de September, 2012

Vulnerabilitat 0-day a la màquina virtual Java (actualització 31/8/2012)

S'han descobert llocs web amb contingut maliciós que aprofiten una nova vulnerabilitat crítica al programari de màquina virtual Java. Aquesta s'està utilitzant en atacs dirigits d'àmbit limitat, però s'espera que s'estengui als principals kits coneguts d'explotació.

Actualització 29/8/2012: s'ha publicat un exploit funcional a l'eina Metasploit.

Actualització 31/8/2012: Oracle ha publicat un butlletí de seguretat d'emergència, juntament amb una actualització, per solucionar la vulnerabilitat

Impacte

Execució remota de codi.

Productes afectats

  • Màquina virtual Java versió 7 (1.7), actualització 6 i anteriors.
  • Actualització 31/8/2012: Màquina virtual Java SE versió 6 (1.6), actualització 34 i anteriors.

Actualització 31/8/2012: NOTA: la versió 1.6 solament està afectada per una vulnerabilitat no explotable de forma independent.

Solució

Actualment Oracle, que distribueix la implementació de Java més utilitzada, no ha publicat cap avís de seguretat, actualització o pegat que solucioni la vulnerabilitat.

Com a mesura de mitigació, es recomana, per aquest ordre:

  • Desinstal·lar Java, si no és imprescindible per al seu ús. És especialment recomanable des instal·lar versions antigues i deixar només la més recent.
  • Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes.
  • Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris.

Actualització 31/8/2012: Oracle ha publicat un butlletí de seguretat d'emergència, juntament amb actualitzacions per solucionar la vulnerabilitat CVE-2012-4681 a més d'altres tres.

Es recomana llançar la comprovació manual d'actualitzacions, ja que la l'avís automàtic pot tenir un retard de fins a 1 setmana. Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzar">Actualitzar ara.

Detall

Hi ha informació sobre una possible implementació de l'exploit que aprofita la vulnerabilitat com a mòdul disponible per la plataforma d'explotació Metasploit. En aquest cas, la seva explotació seria trivial amb el conseqüent increment del risc associat.

Actualització 29/8/2012: l'exploit funcional ja ha estat inclòs en l'última versió de Metasploit, i està disponible per a baixar de forma gratuïta. S'espera que la difusió de l'ús d'aquesta vulnerabilitat per realitzar infeccions amb codi maliciós esdevingui massiva.

Actualització 29/8/2012: l'identificador CVE assignat a aquesta vulnerabilitat és CVE-2012-4681.

Actualització 31/8/2012: Oracle ha publicat noves versions de Java SE 1.7 (Update 7) i 1.6 (Update 35), encara que aquesta última no estava afectada per la vulnerabilitat 0-day. El llistat complet de vulnerabilitats solucionades és:

  • CVE-2012-4681, CVE-2012-1682, CVE-2012-3136: vulnerabilitats a Java Beans, poden ser aprofitades per desactivar les proteccions de seguretat de la sandbox de Java, mitjançant aplicacions i applets de tipus Java Web Start no fiables.
  • CVE-2012-0547: vulnerabilitat no explotable separadament, però que podria ser aprofitada conjuntament amb altres per agreujar l'impacte. La actualització introdueix millores al model de seguretat del component AWT.

Referències

Publicat a: Avisos