28 agosto 2012

Se ha descubierto una grave vulnerabilidad en Java Runtime Environment (JRE) versión 1.7 y posterior que permite a un atacante la ejecución de código remota en sistemas cliente que visiten una página web especialmente formada.

Si bien es algo a lo que estamos acostumbrados, tanto en aplicacipnes de Adobe, como también en este producto de Oracle, esta vez la gravedad recae en que se conocen demasiados detalles de la vulnerabilidad, se está utilizando de manera masiva, y parece ser que Oracle tardará unos días (ya demasiado tarde) en publicar un parche que corrija la vulnerabilidad.

Esta vez, la rama de JRE afectada corresponde con la 1.7, por lo que los usuarios de la versión 1.6 y anteriores no se encuentran afectados. Si bien en un primer momento se pensaba que únicamente eran vulnerables los sistemas Windows, desde Rapid7 han desarrollado ya un módulo para Metasploit (disponible en la última actualización del framework) cuyos payloads generados han funcionado en Mozilla Firefox sobre Ubuntu y Safari sobre OS X 10.7.4. Para conocer todos los detalles, si bien ya hay multitud de posts que realizan análisis, uno recomendado es el de DeepEnd Research, escrito por Andre' M. DiMino y Mila Parkour.

De momento, la única recomendación posible (y tajante como ella sola) es deshabilitar por completo Java de nuestros navegadores hasta nueva orden (hasta que Oracle nos deleite con un parche).

Vamos a dar un repaso por los navegadores más utilizados para saber cómo deshabilitar Java y poder así, navegar tranquilos sin permitir que millones de personas jueguen con nuestros PCs:

- Cómo deshabilitar Java de Internet Explorer
1) Menú de Herramientas (Tools) -> Opciones de Internet (Internet Options)
2) Pestaña Programas (Programs) -> Gestionar complementos (Manage Add-ons)
3) Seleccionar Java Plug-in y deshabilitar (disable)
4) Hacer clic en Aceptar (Ok), y de nuevo Aceptar (Ok)

- Cómo deshabilitar Java de Mozilla Firefox
1) Menú de Herramientas (Tools) -> Complementes (Add-ons)
2) Seleccionar el panel Plugins
3) Hacer clic en elementos cuyo nombre sea Java Plug-in o Java Applet Plug-in. Según el entorno, sistema operativo y versión, el complemento puede venir con un nombre u otro.
4) Hacer clic en el botón "Deshabilitar" (Disable)

- Cómo deshabilitar Java de Google Chrome
1) Accedemos al menú de plugins escribiendo "chrome://plugins/" en la barra de direcciones.
2) Buscar el complemento Java y hacer clic en "Deshabilitar"

- Cómo deshabilitar Java de Safari
1) Acceder a Preferencias -> Pestaña "Seguridad" (Security)
2) Desmarcar la opción "Habilitar Java"

Ahora, ya nos podemos sentir un poco más seguros, por lo menos hasta que se publique una actualización para esta vulnerabilidad.

[+] Users urged to disable Java as new exploit emerges (The Register)

ACTUALIZACIÓN [30-Agosto-2012 20:00]
Oracle ha publicado la actualización Java™ SE Development Kit 7, Update 7 (JDK 7u7) en la que se solucionan las vulnerabilidades del CVE-2012-4681.

16 comments :

Capo dijo...

Bueno, también está la recomendación de hacer un downgrade a la 1.6, que parece un poco menos tajante. En cualquier caso, gracias por avisar.

Manu dijo...

Cuidado, en W'7 con IE 9 es bastante más complicado de deshabilitar. Si además es de 64bits lo tienes que hacer en varios sitios: http://techlogon.com/2011/11/05/how-to-disable-java-in-ie/

vistoenlared dijo...

Gracias por el aviso....desactivando

yopispo dijo...

Esa forma de hablar contra la competencia os deja un poco fuera de la profesionalidad...

yopispo dijo...

Capo, mejor, borrala!!!! e instala la de MS.. oh wait!!!

jack dijo...

Si en Linux usas el plugin IcedTea en vez del plugin de Oracle... ¿Hay riesgo de virus? Supongo que no...

Pepe dijo...

Adobe flash y Oracle Java siempre son vulnerables a cualquier cosa y aún con 200000 actualizaciones no lo corrigen ni para atrás. No lo entiendo...

It dijo...

Ayer probé el exploit de metasploit pero el antivirus que tengo(nod 32) me lo detectaba como una variante de exploit Roseta o algo así.Tuve que deshabilitar que el av para que funcione, y no entiendo porque quizás porque use el payload de meterpreter?

saludos

Fly dijo...

Yo tambien supongo que no, pero desde ayer me ha estado pasando lo que comentan en DeepEnd Research, que al abrir algunas paginas no llegan a cargarse. Ya no se si es por eso o es ke tengo ciberhipocondria. Estoy usando Linux Mint 13 con el pugin IcedTea.
(Lo siento, mi pc se niega a poner acentos)

Atamagl0 dijo...

En IE9, después de deshabilitar Java tanto en Administrar complementos como en Opciones de Internet (en las opciones de seguridad) se sigue ejecutando Java. ¿Alguna otra idea para deshabilitarlo?
En IE8, en opciones avanzadas, hay una opción para no ejecutar JRE, pero en IE9 tampoco aparece.

Chema Xd dijo...

pero es solo en la versión 7 (1.7) yo solo la tenía activada en la version de ie 64bits... Entiendo que en las versiones 6 (1.6) no está afectado no?

ajvico dijo...

Asegúrate de haber desactivado todos los complementos relacionados con Java en Herramientas | Administrar complementos (en Internet Exploprer). Por defecto sólo se muestran los que están cargados. Selecciona "Todos los complementos" en la lista desplegable "Mostrar".


Si eso no funciona, puedes probar desde el panel de control de Java (Panel de control | Java | Avanzado). Ahí encontrarás una opción llamada "Java por defecto para los exploradores", donde podrás desactivar el plugin para Internet Explorer y Firefox.

atamagl0 dijo...

Gracias, efectivamente al mostrar todos los complementos ví que tenía algunos sin deshabilitar.
Sobre el panel de control de Java, nada, aunque desmarcara la opción para Internet Explorer, al aplicar los cambios se volvía a marcar.

nh0 dijo...

la desabilitacion de java en chrome linux ,no funciona.
alguna idea??
por otro lado he encontrado 2 @online para comprobar si mi sistema es vulnerable y uno me dice que si y el otro me dice que no..

fdgdfgdf dijo...

Ala ya ha salido el parche. El listo de la entrada ya puede moderar su tono.

https://www.osi.es/es/actualidad/avisos/2012/08/actualizacion-de-seguridad-muy-importante-para-java?origen=rs_facebook

Aitor BV dijo...

Creo que esto también depende del adsl que tengas contratado, si tienes una conexión de calidad, el propio servidor proxy se encarga de esta vulnerabilidad. Aquí se explica, http://www.adslbarato.org/