Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Diez fallas en la Máquina Virtual Java de Microsoft
|
|
VSantivirus No. 858 - Año 7 - Martes 12 de noviembre de 2002
Diez fallas en la Máquina Virtual Java de Microsoft
http://www.vsantivirus.com/10vul-java.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
La grave falla de la que damos cuenta en nuestros últimos boletines (ver
"Precaución con grave falla en el Internet Explorer",
http://www.vsantivirus.com/09-11-02b.htm), es resultado de 10 nuevas vulnerabilidades encontradas en la Máquina Virtual Java de Microsoft.
Estas fallas, afectan incluso las últimas versiones de Windows (XP con SP1) e Internet Explorer 6 (SP1).
Cómo vimos en la alerta mencionada antes, estas fallas podrían ser aprovechadas en forma remota para causar algún daño a los equipos vulnerables. También los usuarios de Outlook Express son vulnerables si se incluyen rutinas de JavaScript en mensajes con formato HTML.
La plataforma Java es utilizada en la creación de Applets, pequeños trozos de código escritos en JavaScript, insertados en páginas de Internet para ayudar en su diseño, en su navegabilidad, y en una mayor interacción con los visitantes. Un código Java es tratado como un programa. Un applets (o JavaScript), en cambio, es tratado en forma diferente. Debido a que puede contener código no seguro ni comprobado (a diferencia de un código Java), es ejecutado en lo que se llama una "sandbox" o caja de arena, o sea un espacio virtual en donde no podría hacer daño aún si fallara (colgar la PC por ejemplo).
Como vemos, estos applets, por construcción solo pueden ejecutarse en un entorno bajo control (la máquina virtual de Java), y en un área de seguridad predefinida. Por ejemplo, no se pueden ejecutar programas desde una página de Internet (Zona de seguridad de Internet) en nuestra computadora (Zona local).
Es decir, no se puede, hasta que una falla permite saltearse estas reglas. El exploit anunciado en nuestro artículo
"Precaución con grave falla en el Internet Explorer", que puede permitir la ejecución de cualquier código o realizar cualquier acción desde una página Web, como si la misma tuviera acceso directo a nuestra computadora, es un claro ejemplo.
Pero las últimas fallas detectadas no son una, sino diez. Algunas muy graves, y otras de poca importancia.
Las fallas no existen en el código original (el de Sun Microsystem). La implementación que Microsoft hizo de Java, es la vulnerable. Ninguna de estas fallas ha sido comprobada en la plataforma original de Sun.
A pesar del tiempo en que Microsoft fue avisado (julio de 2002), aún no hay parches disponibles para estas fallas, lo que obligó s sus descubridores a hacerlas públicas.
Una forma de protegerse de las mismas, es desactivando la posibilidad de ejecutar applets de Java en el Internet Explorer (un ejemplo corto es el dado en el artículo que ya dimos de referencia antes).
Otra, más drástica, es deshabilitar todo lo que sea Java. Para ello, seleccione "Opciones de Internet" en el Panel de control (o menú Herramientas, Opciones de Internet, en el Internet Explorer.
Seleccione la lengüeta "Seguridad", "Internet", y pinche en "Personalizar Nivel".
En la lista de Configuración, seleccione "Microsoft VM", y en "Permisos de Java", marque "Desactivar Java".
Estos cambios serán muy drásticos para la correcta visualización de muchos sitios de Internet.
Aquellos sitios que desee seguir visitando sin restricciones, pueden ser incluidos en la zona de "Sitios de confianza". Para ello siga estas instrucciones.
1. Seleccione en el Panel de control, el icono "Opciones de Internet".
2. Pinche en la lengüeta "Seguridad", y luego en "Sitios de confianza".
3. Seleccione nivel "Mediano" o pinche en "Personalizar nivel" y seleccione "Restablecer configuración personal" a "Mediano". Pinche en el botón "Restablecer" y confirme el cambio. Pinche en "Aceptar".
4. Pinche en el botón "Sitios".
5. Desmarque la casilla "Necesita comprobación serv. (https:) para todos los sitios de esta zona".
6. Agregue todos los sitios que considera seguros y que visita a diario, por ejemplo:
- http://windowsupdate.microsoft.com
- http://www.vsantivirus.com
- http://www.videosoft.net.uy
- http://search.freefind.com
(http://search.freefind.com/ es el buscador de nuestro sitio)
Los usuarios del Outlook y Outlook Express deberán deshabilitar las opciones para ejecutar scripts al leer mensajes:
1. Pinche en el menú "Herramientas" y seleccione "Opciones"
2. Pinche en la lengüeta "Seguridad"
3. En el Outlook Express y Outlook, asegúrese de tener marcada la opción "Zona de sitios restringidos (más segura)" (en el Outlook Express 6 en la zona de protección contra virus). En Outlook 2002 y las versiones más recientes de Outlook Express 6, esta es la configuración por defecto. Los usuarios con versiones anteriores deberán marcarla expresamente.
Relacionados
Precaución con grave falla en el Internet Explorer
http://www.vsantivirus.com/09-11-02b.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|