|
Vulnerabilidad de
Java facilita ataques vía web
|
|
[15/04/2010]
La vulnerabilidad se origina en el plug-in Java Deployment
Toolkit que se instala automáticamente desde la versión 6
Update 10 en populares navegadores.
|
Una nueva vulnerabilidad en el entorno
de ejecución Java (Java Runtime Environment) ofrece a los
cibercriminales un nuevo camino para ejecutar los ataques
denominados “drive–by-download" (infectan masivamente accediendo a
un sitio web infectado en el que se ha camuflado código dañino) y
comprometer la seguridad online de los usuarios de todas las
versiones de Windows y de los principales navegadores web. Los
expertos de seguridad de G Data califican la vulnerabilidad como
extremadamente grave.
Deshabilitar Java-script no protege contra
esta vulnerabilidad. Hasta que la brecha no sea convenientemente
parcheada, los usuarios necesitan modificar de forma manual la
configuración de su navegador.
El experto en seguridad Tavis Ormandy publicó la información sobre
esta vulnerabilidad. La vulnerabilidad se origina en el plug-in Java
Deployment Toolkit que se instala automáticamente desde la versión 6
Update 10 en navegadores como Microsoft Internet Explorer, Mozilla
Firefox o Google Chrome. El método permite a un atacante ejecutar el
lanzador web de Java (Java Web Start Launcher) con parámetros
totalmente arbitrarios. |
|
Sólo unas pocas horas después, el
experto en detección de brechas de seguridad en programas y sistemas
operativos Rubén Santamarta, lanzó una información acerca de como
cargar de forma remota un archivo DLL. De acuerdo con Santamarta es
posible eludir las medidas de seguridad DEP y ALSR y el archivo DLL
es directamente cargado en los procesos de memoria del lanzador web
de Java.
(Fuente:
gdata.com)
##### Envia este articulo a un amigo
#####
|
AntiVirus
Gratis
