Importante vulnerabilidad en Java.

Se acaba de descubrir una nueva vulnerabilidad en Java que permite infectar el sistema con malware, aunque por el momento no hay indicio de que esta esté siendo explotada.

Según el investigador de seguridad polaco, Adam Gowdiak, una vulnerabilidad en Java permite mediante la creación de una applet eludir la sandbox, para que se ejecute esta en el navegador con los privilegios del usuario y posteriomente introducir en el sistema código malicioso y ejecutarlo.

Adam Gowdiak el investigador de seguridad que ha descubierto esta nueva vulnerabilidad, advierte que las versiones de Java afectadas son las siguientes:

  • Java SE 5 Update 22 (build 1.5.0_22-b03).
  • Java SE 6 Update 35 (build 1.6.0_35-b10).
  • Java SE 7 Update 7  (build 1.7.0_07-b10).


Todas las pruebas de concepto realizadas con éxito mediante el applet creado para explotar este grave problema de seguridad en Java, se realizaron sobre un sistema operativo Windows 7 32 bits con todas las actualizaciones y parches al día y sobre los siguientes navegadores:

  • Mozilla Firefox 15.0.1
  • Google Chrome 21.0.1180.89
  • Internet Explorer 9.0.8112.16421 (update 9.0.10)
  • Opera 12.02 (build 1578)
  • Safari 5.1.7 (7534.57.2)


El investigador de seguridad ya ha enviado la pertinente información sobre el código y la prueba de concepto realizada sobre este problema de seguridad en Java a Oracle, para que el desarrollador corriga lo antes posible el problema.

Aunque dado que el anterior agujero reportado por Adam Gowdiak a Oracle en Abril de 2012, solo fue corregido por Oracle en Agosto cuando este estaba siendo aprovechado a diestro y siniestro por los hackers, la espera para la corrección del problema puede ir para largo.