¿Cómo corrige Java 7 actualización 11 la vulnerabilidad de seguridad?

3

Hay un nuevo Java lanzado Hace un par de días para resolver un agujero que se descubrió recientemente.
( Oracle , US-CERT , NVD / NIST )

En mi lectura inicial sobre esta actualización 11, vi claramente dónde, por defecto, deshabilitó parcialmente la funcionalidad de ejecución sin preguntar, pero no vi dónde estaba realmente solucionando el problema subyacente. Entonces, ¿es correcta la siguiente información?

  • ¿Se encuentra la vulnerabilidad en el entorno limitado de Java tanto en 7u10 como en 7u11?
  • Tengo razón en que esto es casi exclusivamente un problema con el complemento de Java (navegación web con Java habilitado), pero tiene consecuencias en algunas aplicaciones generalmente desconocidas que hacen uso del sandbox.
  • ¿Es cierto que la única forma de evitar el problema es evitar que se ejecute un código en el que no confías? (ya sea deshabilitar Java o ajustar para preguntar siempre antes de ejecutar applets)
  • ¿Es cierto que la única diferencia relevante entre 7u10 y 7u11 es que en lugar de (de forma predeterminada) ejecutar applets sin preguntar, Java 7u11 le preguntará al usuario antes de ejecutar applets sin firmar, mientras que para ejecutar aplicaciones firmadas sin preguntar? ¿Qué significa que las aplicaciones firmadas todavía se pueden usar para explotar la vulnerabilidad?
pregunta George Bailey 15.01.2013 - 21:39
fuente

2 respuestas

1

Gracias a @Ramhound por tus comentarios.

  • El CERT de EE. UU. aún sugiere que deshabilites Java en tu navegador incluso con la Actualización 11 instalada.

  • Si bien la Actualización 11 corrige una vulnerabilidad, se dice que Java 7 Update 11 todavía es vulnerable a otro día-0 . Esto no ha sido probado. Lo que se encontró fue una oferta para vender código de explotación, sin ninguna indicación de cómo funciona. (o prueba de que realmente funciona)

  • Editar: Confirmación de la vulnerabilidad existente en la Actualización 11: enlace

Recomendaciones:

  • Siempre mantenga actualizado su Java, por supuesto.

  • Configure su sistema para que siempre pregunte antes de ejecutar Java, y solo apruebe esto si confía en el autor.

  • Conozca la diferencia entre aprobar que el applet de Java se ejecute en un entorno limitado (lo que realmente funciona, la mayoría de las veces) y aprobar un applet de Java para que se ejecute con acceso completo a su computadora.

respondido por el George Bailey 17.01.2013 - 20:22
fuente
6

El artículo CNET vinculado hace referencia a CVE-2013-0422 " Vulnerabilidad de omisión de Oracle Java 7 Security Manager " ( Oracle , EE. UU. -CERT , NVD / NIST ). Desde el enlace de Oracle: "Versiones y versiones de productos afectados: JDK y JRE 7 Update 10 y anteriores ".

  • "La vulnerabilidad en el entorno limitado de Java existe tanto en 7u10 como en 7u11" Es incorrecto. 7u10 es vulnerable. 7u11 no lo es. Las notas de actualización sugieren que el error se corrigió con los cambios de código , no simplemente cambiando el nivel de seguridad predeterminado como parece implicar en su punto final.

  • Los complementos del navegador Java son muy problemáticos porque permiten Ataques tipo drive-by contra sistemas vulnerables. Solo visita un URL hostil, y la máquina está comprometida - sin descarga, sin advertencia diálogo. Aquí hay un video que demuestra un ataque . Tal vez hay otros vectores de ataque, pero el navegador es el más importante con diferencia.

  • Correcto: la única forma de estar seguro es evitar que los navegadores llamen Java (deshabilitando los ayudantes del navegador, o desinstalando Java enteramente)

  • La diferencia entre 7u10 y 7u11 se describe en Oracle Actualizar las notas de la versión . Resumen:

  

Esta versión contiene correcciones para vulnerabilidades de seguridad. Para más   información, consulte la Alerta de seguridad de Oracle para CVE-2013-0422. Adicionalmente,   se ha realizado el siguiente cambio: Configuración predeterminada del nivel de seguridad   Cambiado a Alto

    
respondido por el scuzzy-delta 15.01.2013 - 22:35
fuente

Lea otras preguntas en las etiquetas