Un importante agujero de seguridad ha sido descubierto en las versiones más recientes de Java (JRE 1.7x) que puede comprometer la integridad de los equipos Windows en los que se encuentra instalado. Esta vulnerabilidad puede ser usada por un atacante para, usando un sitio web propio o infectando uno ajeno, ejecutar aplicaciones y código en el ordenador del usuario que acceda a dicha web, sin su consentimiento.
Según comentan en The H Security, se ha comprobado cómo después de modificar el exploit encontrado en determinadas webs de foros e introducirlo en una página de prueba, ha sido posible ejecutar la calculadora del sistema desde el navegador web sin conocimiento ni autorización del usuario.
Además, el agujero podría ser usado para descargar malware e infectar nuestros equipos. De momento parece que todos los navegadores están afectados en entornos Windows (Chrome, Firefox, Opera e Internet Explorer), ya que el problema se encuentra en las propias rutinas de Java y no en los navegadores en sí.
Por ello y hasta que llegue una actualización (la próxima que está programada será el día 16 de octubre) los expertos recomiendan desactivar el plug-in de Java en los navegadores de forma predeterminada y activarlo sólo en webs de confianza y únicamente cuando sea imprescindible.
Actualización: Aunque en un primer momento se pensaba que únicamente estaban afectados los sistemas Windows, desde Rapid7 han desarrollado ya un módulo capaz de explotar la vulnerabilidad en Mozilla Firefox sobre Ubuntu y en Safari sobre OS X 10.7.4
Vía | RedesZone
Más información | H Security