Archivo de la categoría: Java

Oracle publica una nueva actualización de seguridad para Java

Fuera de ciclo y en poco más de 15 días tras liberar una actualización múltiple de seguridad para Java, Oracle se ha visto obligada a lanzar una nueva actualización de seguridad para corregir dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario.
El 10 de abril contábamos en “una-al-día” el fallo descubierto, de manera independiente, por los investigadores Tavis Ormandy y Ruben Santamarta en la herramienta de despliegue “Java Deployment Toolkit”; además de la vulnerabilidad que permite inyectar una dll a través de Java Web Start, descubierta por Santamarta.
La respuesta de Oracle no se ha hecho esperar y la actualización 20 ya está disponible para su descarga. En total corrige las dos vulnerabilidades, con CVE-2010-0886 y CVE-2010-0887, e incluye además tres correcciones de bugs, dos de ellas, en los mismos componentes afectados.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4192/comentar

Más información
Java SE 6 Update Release Notes
http://java.sun.com/javase/6/webnotes/6u20.html
Anuncios

0-day: Inyección arbitraria de parámetros a través de Java Deployment Toolkit

Tavis Ormandy, reputado investigador y empleado de Google, ha publicado un aviso de seguridad en la lista de Full Disclosure donde describe un método para inyectar parámetros arbitrarios a través de Java Deployment Toolkit. Se trata de un 0-day que podría permitir a un atacante remoto ejecutar una aplicación java arbitraria, desde una ubicación controlada por el atacante y sin más restricciones que las aplicadas a una aplicación java lanzada por el propio usuario.
Java Deployment Toolkit provee de un objeto Javascript que facilita a los desarrolladores Java el despliegue de aplicaciones abstrayendo las particularidades de cada navegador y versión del JRE instalado por el usuario. El Java Deployment Toolkit viene incorporado y se instala por defecto en el JRE a partir de la actualización 10 de la versión 6. Para Internet Explorer es un objeto ActiveX a invocar y para los navegadores que lo soporten es un plugin de arquitectura NPAPI asociado a un tipo MIME (en realidad hay dos versiones del tipo MIME asociado, ya que se actualizó la denominación haciéndolo más descriptivo). Una vez cargado, el objeto Javascript “deployJava” ofrece una serie de métodos que, como ya se ha comentado, facilitan al desarrollador el despliegue de aplicaciones en el cliente.
Entre estos, Ormandy descubrió que el método “launch” no valida correctamente la URL pasada como parámetro. Dicho parámetro debería contener una cadena con una URL hacia un archivo .jnlp, que contiene información para el despliegue de una aplicación Java Web Start.
Sin embargo, al no ser validada correctamente, se pasa tal cual a “javaws” (básicamente el ejecutable que carga la aplicación Java Web Start). javaws admite entre sus parámetros una opción ‘-J’ para pasar argumentos a la máquina virtual, Ormandy en su prueba de concepto usó el parámetro de la máquina virtual “-jar”, que insta a la misma a ejecutar una aplicación Java empaquetada en un jar.
Ormandy usó una ruta UNC hacia un jar que lanza la calculadora de Windows (el HelloWorld en la explotación de vulnerabilidades).
Se da la circunstancia de que el investigador español Ruben Santamarta tenía conocimiento del 0-day semanas antes de la publicación por parte de Ormandy. Santamarta incluso llegó más lejos descubriendo adicionalmente dos parámetros de línea de comandos no documentados que soportan los ejecutables “java.exe” y “javaws.exe”, máquina virtual y Java Web Start respectivamente, y que permiten la inyección de una dll remota. En este momento Oracle, la ahora propietaria de toda la tecnología de Sun tras su compra, no se ha pronunciado de manera oficial y no existen recomendaciones del fabricante.
Ambos investigadores ofrecen indicaciones para mitigar las vulnerabilidades en sus respectivos avisos.
Opina sobre esta noticia:
Más información Java Deployment Toolkit Performs Insufficient Validation of Parameters
[0DAY] JAVA Web Start Arbitrary command-line injection – “-XXaltjvm” arbitrary dll loading http://www.reversemode.com/index.php?option=com_content&task=view&id=67&Itemid=1
Java™ Rich Internet Applications Deployment Advice http://java.sun.com/javase/6/docs/technotes/guides/jweb/deployment_advice.html

Actualización para Java incluye 27 parches de seguridad

Oracle, propietaria de los productos de Sun tras su compra, ha publicado una actualización de la plataforma Java SE (Standard Edition) que incluye 27 parches de seguridad.
Todas las vulnerabilidades son explotables en remoto y sin necesidad de autenticación. 23 de ellas podrían afectar a la integridad, confidencialidad y disponibilidad.
Dos de las vulnerabilidades han sido corregidas en la librería ImageIO. cinco en la librería Java2D, nueve en el motor de entorno de ejecución (JRE), tres en JavaWeb Start, 1 en la herramienta para comprimir jars “pack200”, cuatro en la librería Sound, 1 en JSSE (Java Secure Socket Extension) y dos en la versión servidor de la máquina virtual HotSpot.
Además de los parches de seguridad esta actualización contiene 28 correcciones entre errores y mejoras. Oracle recomienda actualizar a la revisión 19 del JDK y JRE en la versión 6.
Opina sobre esta noticia:
Más información Oracle Java SE and Java for Business Critical Patch Update Advisory – March2010