Avisos 14 de January, 2013

Vulnerabilitat 0-day a la màquina virtual Java

S'ha detectat una vulnerabilitat de tipus 0day (sin pegat disponible) a la màquina virtual Java. La vulnerabilitat és de nivell crític, ja que permet l'execució de codi de forma remota, i està sent explotada activament per part dels principals kits d'explotació (exploit kits) com Blackhole i Nuclear.

Actualització 14/1/2013: Oracle ha publicat un avís de seguretat i una actualització per solucionar la vulnerabilitat 0day (CVE-2013-0422) i una altra de severitat semblant (crític) que no era pública (CVE-2012-3174).

Impacte
 
Execució remota de codi.
 
Productes afectats
 
Màquina virtual Oracle Java versió 7 (1.7), actualització 10 i anteriors.
 
Actualment no està totalment clar si la vulnerabilitat afecta a la versió de Java 6 (1.6), encara que el exploit descobert originalment no funciona en aquesta branca.
 
Solució
 
Actualització 14/1/2013: Oracle ha publicat una actualització (Java 7u11) per a solucionar dues vulnerabilitats, incloent la que estava sent explotada activament a la xarxa. En aquesta nova versió, la configuració de seguretat per defecte de l'entorn d'execució de Java s'ha pujat a "Alt". Aquesta opció implica que l'usuari és alertat abans d'executar qualsevol aplicació no signada, el que dificultaria l'explotació silenciosa de la vulnerabilitat.
 
En cas de no poder aplicar el pegat, com a mesura de mitigació, es recomana, per aquest ordre:
 
Desinstal•lar Java, si no és imprescindible per al seu ús. És especialment recomanable desinstal•lar versions antigues i deixar només la més recent.
Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes. El fabricant proporciona instruccions per realitzar aquesta configuració en el següent enllaç:
http://www.java.com/es/download/help/disable_browser.xml
 
Activar la funcionalitat de "fer clic per executar" (click-to-play) disponible als navegadors més importants. Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris.
 
Detall
 
La màquina virtual Oracle Java Runtime Environment (JRE) 1.7 permet als usuaris executar aplicacions Java en un navegador o com programes independents.
 
El connector Java JRE proporciona el seu propi gestor de seguretat (Security Manager). Típicament, un applet web s'executa amb un gestor de seguretat proporcionat pel navegador o el connector Java Web Start. Segons la documentació d'Oracle, si hi ha un gestor de seguretat ja instal•lat, la màquina virtual comprova si és segur substituir el gestor de seguretat existent, mitjançant el mètode checkPermission.
 
Utilitzant la vulnerabilitat, relacionada amb components MBean de les extensions Java Management Extensions (JMX), i objectessun.org.mozilla.javascript.internal, un applet Java no fiable pot escalar als privilegis fent una crida a la funció setSecurityManager(), sense necessitat de que el codi estigui signat.
 
L'identificador CVE assignat a aquesta vulnerabilitat és el CVE-2013-0422. La vulnerabilitat ha estat descoberta perquè està sent explotada activament per part dels principals packs d'explotació, entre ells Blackhole, CoolEK, Nuclear, Sakura/RedKit.
 
Actualització 14/1/2013: el fabricant ha inclòs en l'actualització el pegat per solucionar una altra vulnerabilitat d'execució remota de codi CVE-2012-3174. L'existència d'aquesta vulnerabilitat no era pública fins ara, tot i que el seu identificador es va assignar el 6 de juny de 2012.
 
 
Referències
 
Nou 14/1/2013: Avís de seguretat d'Oracle
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
Nou 14/1/2013: Notes de publicació de la versió JDK/JRE 7u11
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
Avís de seguretat de US-CERT
http://www.kb.cert.org/vuls/id/625617
Informació al bloc de l'empresa de seguretat Alienvault
http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/
Informació al lloc web de l'investigador de seguretat original
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
 
Publicat a: Avisos