Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Vulnerabilidades Java en Internet Explorer y Netscape
 
VSantivirus No. 871 - Año 7 - Lunes 25 de noviembre de 2002

Vulnerabilidades Java en Internet Explorer y Netscape
http://www.vsantivirus.com/vul-java-ie-netscape.htm

Aviso de seguridad: Vulnerabilidades Java en Internet Explorer y Netscape
Fecha original: 3/oct/02, 25/nov/02
Aplicaciones vulnerables: JDK 1.x, Internet Explorer 5.01, 5.5 y 6, Netscape 4.x
Severidad: Medianamente crítica
Riesgo: Acceso remoto al sistema

Múltiples vulnerabilidades han sido reportadas en diferentes implementaciones Java. Los applets de Java son compilados y ejecutados por la Máquina Virtual de Java (Java Virtual Machine), que puede existir dentro del contexto del navegador, o puede estar completamente separada.

Se accede a un applet de Java desde un link de una página HTML, como si fuera un archivo gráfico por ejemplo. La seguridad la provee por lo tanto la Máquina Virtual, que es quien abre y ejecuta el applet en un espacio controlado (la "sandbox" o caja de arena). Esto previene el acceso directo al sistema (ver "JavaScript no es Java", http://www.vsantivirus.com/java-javascript.htm).

Sin embargo, múltiples fallas recientemente detectadas, permiten eludir las restricciones de seguridad y acceder a recursos locales del sistema.

Una falla en el compilador JIT (Just-In-Time) puede afectar las versiones para Windows de Netscape 4 a 4.8 inclusive, permitiendo que un sitio malicioso pueda acceder a nuestro sistema.

Un compilador JIT acelera la ejecución de código Java, compilando los applets en código nativo, y es parte integral de la máquina virtual Java, aunque no siempre se encuentra instalado.

Otra vulnerabilidad está relacionada con la verificación del código Java (Bytecode Verifier vulnerability), y afecta a todas las versiones del Internet Explorer desde la 4.0 a la 6.0.

Es posible de este modo eludir todas las reglas de seguridad, permitiendo a un atacante remoto el acceso a todos los recursos del sistema local.

La misma falla en el Java Development Kit de SUN (JDK 1.1 a 1.4), afecta también a Netscape 4 a 4.8 (todas las plataformas).

Y finalmente, un error de implementación del "System class" afecta a Netscape 4 a 4.8 bajo Windows. "System class" contiene numerosas opciones y métodos usados en los applets de Java para implementar entradas y salidas de datos, etc.

Esta falla permite a un atacante cargar y ejecutar código en nuestra PC en forma remota.


Solución:

Hasta el momento, SUN es el único vendedor que ha respondido, anunciando que actualizará a la brevedad su máquina virtual Java. Ni Microsoft ni Netscape han comentado el problema. Estas fallas son diferentes a las mencionadas en el artículo "Diez fallas en la Máquina Virtual Java de Microsoft" http://www.vsantivirus.com/10vul-java.htm)

Se recomienda instalar la máquina virtual Java de SUN, cuando ésta sea actualizada, o simplemente restringir el uso de Java, mediante la configuración de los niveles de seguridad del navegador utilizado.


Referencias:

Multiple Java virtual machines bugs
http://lsd-pl.net/java_security.html

JavaScript no es Java
http://www.vsantivirus.com/java-javascript.htm

Diez fallas en la Máquina Virtual Java de Microsoft
http://www.vsantivirus.com/10vul-java.htm

Download and Install the Sun Java Virtual Machine (JVM)
http://java.sun.com/getjava/download.html



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS