Oracle finalizó el soporte público para la versión 6 de Java el pasado febrero. Las versiones públicas de Java poseen un soporte de tres años. Después, sólo clientes con licencia comercial del producto tendrán acceso a los parches críticos, durante cinco años adicionales.
¿Pero cual es el problema?
- Pues que Java 6 aún se encuentra instalado en millones de sistemas, no tiene soporte y existe una vulnerabilidad con exploit publicado que se está usando activamente para infectar equipos.
- La vulnerabilidad está etiquetada con el CVE-2013-2463. Consiste en un error en el índice de un array al invocar la función nativa 'storeImageArray'. Dicha función pertenece a la capa nativa del paquete AWT (Abstract Widget Toolkit) encargado entre otras cosas del tratamiento de imágenes, un paquete disponible desde la versión 1.0 de Java.
- La vulnerabilidad se conoce desde hace meses y está parcheada para Java 7 revisión 25. Pero el exploit se publicó a principios de agosto.
Impacto de la vulnerabilidad en el Sistema
- La vulnerabilidad va a permitir que cuando vayamos a escribir en el búfer relacionado, se pueda alojar un objeto y modificar sus permisos para ejecutar código fuera de la sandbox de Java.
- Esto significa que mantener la versión Java 6 o una versión de Java 7 sin actualizar en el sistema y visitar una página infectada implica casi con toda seguridad comprometer el sistema.
Recomendación
- Dada la anterior información solo cabe extremar las medidas de seguridad y recordar el riesgo que supone mantener activo un producto sin soporte.
- Siendo la mejor opción actualizar el sistema a una versión que tenga corregido el problema, en este caso JAVA 7.
- Como último recurso, si no tenemos soporte de Java 6 y nuestro sistema operativo no soporta Java 7, siempre y cuando no utilicemos aplicaciones que requieran Java, podremos desactivarlo de nuestro navegador. Visiten el sitio web oficial de Java para saber como hacerlo:
¿Cómo puedo desactivar Java en el explorador web? http://www.java.com/es/download/help/disable_browser.xml
Más información:
- Public class: BytePackedRaster http://www.docjar.com/docs/api/sun/awt/image/BytePackedRaster.html
- Java 6 exploit found in the wild http://www.theinquirer.net/inquirer/news/2291040/java-6-exploit-found-in-the-wild
- Oracle Java SE Support Roadmap http://www.oracle.com/technetwork/java/eol-135779.html
- Packet Storm Exploit 2013-0811-1 - Oracle Java storeImageArray() Invalid Array Indexing Code Execution http://packetstormsecurity.com/files/122777/
- Una al día ( ¿Tienes Java 6 instalado? ) http://unaaldia.hispasec.com/2013/08/tienes-java-6-instalado.html
Fuente: Hispasec