Llegamos a ustedes gracias a:



Alertas de Seguridad

Oracle lanza parche de emergencia de Java

Para detener ataques del día cero

[15/04/2010] Oracle parchó hoy una vulnerabilidad crítica de Java que está siendo explotada por hackers para instalar software malicioso. La actualización de seguridad para Java SE 6 Update 20 parcha un agujero divulgado el pasado viernes por el investigador de seguridad de Google, Tavis Ormandy, quien explicó cómo los atacantes pueden ejecutar programas no autorizados en Java en la máquina de una víctima usando una característica diseñada para permitir a los desarrolladores distribuir su software. Solo los sistemas que corren Windows están en riesgo.

El parche de Oracle aparece rápido y sucio, señaló Ormandy. Han removido completamente la característica vulnerable, literalmente reemplazada con return 0, escribió en Twitter.
La compañía anotó en el consejo que acompañaba la actualización: Un archivo de Protocolo de Lanzamiento de Red de Java (Java Network Launch Protocol o JNLP) sin el parámetro de código base, como el siguiente, ya no trabajará con el lanzamiento Java SE 6 update 20, precisó Oracle. Esto significa que los desarrolladores deben especificar el parámetro de código base en un archivo JNLP.
A pesar de que Ormandy reportó la falla a Oracle antes de hacerla pública, indicó que la compañía declinó apurarse en hacer un parche. Me informaron que no consideraban esta vulnerabilidad de prioridad suficiente como para romper su ciclo de parches trimestrales, escribió Ormandy en la divulgación completa en la lista de correo sobre seguridad el pasado viernes. Les expliqué que no estaba de acuerdo, e intenté publicar el consejo para deshabilitar temporalmente el control afectado hasta que esté disponible una solución.
 
Otros investigadores notaron un cambio en Oracle hoy. ¡Así que ahora resulta que Oracle puede realmente parchar Java en menos de una semana! Es curioso cómo los fabricantes solo se preocupan en hacer esto después de una divulgación completa, señaló el renombrado investigador de navegadores Alexander Sotirov, también en Twitter.
Anteayer, Roger Thompson, jefe de investigación de AVG Technologies, reveló que los hackers ya estaban usando el código de prueba-de-explotación de Ormandy para plantar malware en usuarios que no sospechaban. El sitio web estadounidense Songlyrics.com ha sido comprometido por los atacantes, y estuvo redidirigiendo a los visitantes a un servidor ruso alimentando el ataque de Java así como otras vulnerabilidades.
Posteriormente, el miércoles, Songlyrics.com confirmó que uno o más anuncios publicitarios en su sitio web contenían un IFRAME que estaba disparando a los usuarios hacia el sitio de ataque ruso. Parece que nuestro servidor de publicidad, OpenX, fue hacheado, señaló Dan OBrien de SoundMedia, la compañía que opera Songlyrics.com. OpenX es un servidor de publicidad gratuito de fuente abierta.
Nuestra versión de OpenX fue actualizada en marzo del año pasado, pero ha habido un nuevo lanzamiento desde entonces, continuó OBrien. Hemos removido toda la publicidad de OpenX en Songlyrics.com hasta que hayamos arreglado todo.
De acuerdo a Thompson, los usuarios corriendo Internet Explorer de Microsoft (IE) o Firefox de Mozilla con el plug-in de Java instalado son vulnerables a ataques usando el código de explotación de Ormandy. Asimismo, Google Chrome probablemente es seguro.
Java SE 6 Update 20 puede ser descargado desde el sitio de Oracle.
Gregg Keizer, Computerworld (US)