Lo de java ya esta empezando a ser muy preocupante, y no seria de extrañar que
muchas plataformas comiencen a abandonar este sistema que no para de dar
problemas muyyyyyy peligrosos y serios de seguridad.
otro defecto de Oracle Java SE que afecta al API
Fuente original, http://seclists.org/fulldisclosure/2013/Apr/194
Hola a todos,
Hoy, un informe sobre la vulnerabilidad con una prueba de acompañamiento de
Código Concept fue enviado a Oracle notificar a la compañía de un
nueva debilidad en la seguridad que afecta a software Java SE 7.
El nuevo fallo se verificó a afectar a todas las versiones de Java SE
7 (incluyendo el recientemente lanzado 1.7.0_21-b11). Puede ser
utilizado para lograr una completa seguridad de Java sandbox bypass
un sistema de destino. La explotación con éxito en un navegador web
escenario requiere interacción con el usuario adecuado (un usuario necesita
aceptar el riesgo de ejecutar una aplicación Java malintencionado
aplicación cuando se muestra una ventana de alerta de seguridad).
Lo que es interesante es que la nueva edición está presente no sólo
en el software JRE Programas / JDK, sino también el recientemente anunciado
JRE del servidor y [1]. Quienes se preocupan por la viabilidad
de la explotación de los defectos de Java en un entorno de servidor debe
consulte Guía 3-8 de "Instrucciones de codificación segura para una aplicación Java
Lenguaje de programación ". [2] Se muestra el siguiente software
componentes y las API como potencialmente propenso a la ejecución de
no confiable código Java:
- Implementación de Sun del intérprete XSLT,
- La persistencia a largo plazo de los componentes JavaBeans,
- RMI y LDAP (RFC 2713),
- Muchas implementaciones de SQL.
En abril 2012 [3], se informó de nuestro primer informe sobre la vulnerabilidad
de Oracle Corporation señalización múltiples problemas de seguridad en
Java SE 7 y el API de reflexión, en particular. Ha sido un
años desde entonces y que nuestra verdadera sorpresa, que todavía pudimos
para descubrir una de las instancias más simples y más poderosos
Reflexión de vulnerabilidades basadas en la API de Java. Parece Oracle
se centró principalmente en la caza de potencialmente peligrosos
API Reflection llama en el "permitido" espacio de las clases. Si es así,
no resulta sorprendente que Issue 61 se pasa por alto.
Gracias.
Saludos cordiales
Adam Gowdiak
.jpg)
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias