|
Controlado desde el
19/10/97 por NedStat
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
| Vulnerabilidades Java en Internet Explorer y Netscape | ||
|---|---|---|
VSantivirus No. 871 - Año 7 - Lunes 25 de noviembre de 2002 Vulnerabilidades Java en Internet Explorer y Netscape http://www.vsantivirus.com/vul-java-ie-netscape.htm Aviso de seguridad: Vulnerabilidades Java en Internet Explorer y Netscape Fecha original: 3/oct/02, 25/nov/02 Aplicaciones vulnerables: JDK 1.x, Internet Explorer 5.01, 5.5 y 6, Netscape 4.x Severidad: Medianamente crítica Riesgo: Acceso remoto al sistema Múltiples vulnerabilidades han sido reportadas en diferentes implementaciones Java. Los applets de Java son compilados y ejecutados por la Máquina Virtual de Java (Java Virtual Machine), que puede existir dentro del contexto del navegador, o puede estar completamente separada. Se accede a un applet de Java desde un link de una página HTML, como si fuera un archivo gráfico por ejemplo. La seguridad la provee por lo tanto la Máquina Virtual, que es quien abre y ejecuta el applet en un espacio controlado (la "sandbox" o caja de arena). Esto previene el acceso directo al sistema (ver "JavaScript no es Java", http://www.vsantivirus.com/java-javascript.htm). Sin embargo, múltiples fallas recientemente detectadas, permiten eludir las restricciones de seguridad y acceder a recursos locales del sistema. Una falla en el compilador JIT (Just-In-Time) puede afectar las versiones para Windows de Netscape 4 a 4.8 inclusive, permitiendo que un sitio malicioso pueda acceder a nuestro sistema. Un compilador JIT acelera la ejecución de código Java, compilando los applets en código nativo, y es parte integral de la máquina virtual Java, aunque no siempre se encuentra instalado. Otra vulnerabilidad está relacionada con la verificación del código Java (Bytecode Verifier vulnerability), y afecta a todas las versiones del Internet Explorer desde la 4.0 a la 6.0. Es posible de este modo eludir todas las reglas de seguridad, permitiendo a un atacante remoto el acceso a todos los recursos del sistema local. La misma falla en el Java Development Kit de SUN (JDK 1.1 a 1.4), afecta también a Netscape 4 a 4.8 (todas las plataformas). Y finalmente, un error de implementación del "System class" afecta a Netscape 4 a 4.8 bajo Windows. "System class" contiene numerosas opciones y métodos usados en los applets de Java para implementar entradas y salidas de datos, etc. Esta falla permite a un atacante cargar y ejecutar código en nuestra PC en forma remota. Solución: Hasta el momento, SUN es el único vendedor que ha respondido, anunciando que actualizará a la brevedad su máquina virtual Java. Ni Microsoft ni Netscape han comentado el problema. Estas fallas son diferentes a las mencionadas en el artículo "Diez fallas en la Máquina Virtual Java de Microsoft" http://www.vsantivirus.com/10vul-java.htm) Se recomienda instalar la máquina virtual Java de SUN, cuando ésta sea actualizada, o simplemente restringir el uso de Java, mediante la configuración de los niveles de seguridad del navegador utilizado. Referencias: Multiple Java virtual machines bugs http://lsd-pl.net/java_security.html JavaScript no es Java http://www.vsantivirus.com/java-javascript.htm Diez fallas en la Máquina Virtual Java de Microsoft http://www.vsantivirus.com/10vul-java.htm Download and Install the Sun Java Virtual Machine (JVM) http://java.sun.com/getjava/download.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com |
||
