Security Explorations ha reportado un nuevo fallo de seguridad crítico en Java SE, ahora en las versiones 5, 6, y 7.
Los investigadores de Security Explorations dijeron haber realizado pruebas en un ambiente con Windows 7 32-bit completamente actualizado y con los navegadores Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421 (update 9.0.10), Opera 12.02 (build 1578), y Safari 5.1.7 (7534.57.2). Como resultado verificaron el fallo en Java SE 5 Update 22 (build 1.5.0_22-b03), Java SE 6 Update 35 (build 1.6.0_35-b10), y Java SE 7 Update 7 (build 1.7.0_07-b10).
El fallo lo han podido explotar con éxito y comprometer el sandbox de seguridad de Java. Así, un applet o aplicación malintencionado de Java que explote el fallo podría funcionar sin restricciones en el contexto de un proceso Java, como una aplicación de navegador web. Un atacante podría instalar programas, ver, cambiar o eliminar datos con los privilegios del usuario que inició la sesión. Pueden ser creados archivos o ejecutarse aplicaciones en el entorno del software Java SE afectado. No se tienen reportes de que el fallo esté siendo explotado en Internet.
Security Explorations es la organización que reportó el fallo de seguridad en Java SE 7 el mes pasado y que fue resuelto por Oracle publicando el parche fuera de ciclo.
Security Explorations ha comunicado a Oracle de este nuevo fallo, junto con la prueba de concepto. Se espera que Oracle resuelva el fallo en una actualización de seguridad de Java SE aún sin fecha definida.