Actualización 14-Ene-2013: Ya está disponible la actualización Java 7u11.
Una vulnerabilidad descubierta en Java ha expuesto a los equipos que poseen el popular plugin en el navegador web. Prácticamente la vulnerabilidad se encuentra en todas las versiones de Java 7, incluyendo la más reciente que es la 7u10.
No hay parche para el fallo en Java, pero sí el código de explotación que está siendo utilizado en ataques activos en Internet.
La vulnerabilidad clasificada como CVE-2013-0422 está relacionada con los permisos de algunas clases Java. Puede permitir que un atacante remoto no autenticado ejecute código en el sistema vulnerable.
Herramientas de explotación como Blackhole y Nuclear Pack han agregado el código de explotación para sus ataques a los sistemas vulnerables, que son muchos miles de equipos.
El atacante puede tomar el control del equipo si se visita un enlace especialmente diseñado para explotar la vulnerabilidad.
Si tienes instalado Java en tu equipo, lo recomendable es deshabilitarlo en el navegador o desinstalarlo por completo si no lo requieres. En lo que Oracle publica la actualización de seguridad de Java.
Actualización 11-Ene-2013: Nivel de detección de los productos antivirus, según VirusTotal, para una muestra del malware.
Parece ser que algunos sistemas Windows no muestran el Panel de Control disponible en Java 7u10 para configurar la seguridad de Java o deshabilitarlo. Para mostrarlo ejecute el archivo javacpl.exe que se encuentra en la carpeta de instalación de Java, típicamente C:\Program Files\Java\jre7\bin o C:\Program Files (x86)\Java\jre7\bin. Considerar que en sistemas en español la carpeta “Program Files” se llama “Archivos de programa“. Abierto el Panel de Control de Java, vaya a la pestaña de “Seguridad” y desactive la opción “Activar el contenido de Java en el navegador” para deshabilitar Java. Esta opción es la recomendable pero si no quiere deshabilitar Java, entonces puede poner como “Personalizada” el nivel de seguridad de Java y en “Configuración”, seleccionar las opciones de no ejecutar o que pregunte antes de ejecutar aplicaciones no confiables aunque esto puede ser molesto y requiere conocimiento de las aplicaciones a autorizar que sean ejecutadas.
Se ha publicado en Metasploit, una herramienta para pruebas de penetración, un módulo para explotar la vulnerabilidad.
Se ha confirmado que la vulnerabilidad afecta no sólo a la versión 7 sino también a las versiones 4, 5 y 6 de Java.
Actualización 14-Ene-2013: Oracle ha publicado nueva actualización de Java, la versión 7u11. Es recomendable instalar la nueva actualización de inmediato.
La actualización corrige las vulnerabilidades reportadas en CVE-2013-0422. Según Oracle, las vulnerabilidades no son aplicables a Java en servidores, aplicaciones independientes Java de escritorio o aplicaciones Java incrustradas.
Adam Gowdiak, experto de seguridad de Security Explorations, y quien ha descubierto otros fallos de seguridad en Java relacionados, dijo que la actualización de Oracle deja sin corregir varios fallos críticos de seguridad. “No nos atrevemos a decir a los usuarios que es seguro habilitar Java otra vez”, dijo Gowdiak. Un vocero de Oracle declinó comentar al respecto.
Quizás por ello, la nueva actualización cambia el nivel de seguridad de Java de “Medium” a “High” para que al usuario siempre se le pregunte antes de ejecutar una applet Java sin firmar or aplicación Java Web Start. Si se ha deshabilitado Java en el Panel de Control de Java entonces deberá activarse después de instalada la actualización.
Oracle comunica también que la versión independiente de JavaFX 2.x ocasiona que en algunos sistemas el Panel de Control de Java no muestre en la pestaña de “Seguridad” el slider para elegir el nivel de seguridad de las aplicaciones; y un problema con el registro del complemento. Recomienda desinstalar esta copia de JavaFX 2.x para resolver estos problemas.