Se ha detectado un repunte de ataques contra Java
SE Runtime Environment, que aprovechan vulnerabilidades de este software
e instalan malware, ensombreciendo por aplastante mayoría a los ataques
contra el Adobe Reader que últimamente parecía el preferido por los
atacantes.
Venimos avisando desde hace algunos meses que los
ataques contra Adobe Reader en forma de archivo PDF especialmente
manipulado viene siendo la tónica habitual entre los atacantes. Desde el
Microsoft Security Intelligence Report descubren que, desde el segundo
trimestre de 2010, este tipo de ataques se ha visto totalmente
ensombrecido por los ataques contra Java SE Runtime Environment (JRE),
aprovechando sus numerosas vulnerabilidades.
Hace unos días
Oracle, propietaria de los productos de Sun tras su compra, publicaba
una actualización de la plataforma JRE que corregía 29 problemas de
seguridad, la mayoría bastante graves. Esta es la tónica habitual en la
JRE desde siempre. Ahora que Oracle se ocupa de sus actualizaciones, la
situación parece haber empeorado. Oracle ha incluido el software en su
ciclo trimestral de actualizaciones, lo que arrastra a la máquina
virtual de Java en el desastre (y oscuridad) típica de Oracle en
cuestión de gestión de fallos.
Los fallos que están siendo
aprovechados en concreto son: CVE-2008-5353, con 3.560.669 ataques
detectados, CVE-2009-3867 con 2.638.311 y CVE-2010-0094 con 213.502. Los
ataques PDF apenas llegan a las decenas de miles.
¿Por qué los
atacantes prefieren ahora atacar la Java? Siempre ha sido un objetivo
muy apetitoso. A través de applets, los navegadores descargan código y
lo ejecutan en local con la máquina virtual. Esto ya de por sí no es muy
buena idea. Aunque la seguridad de Java esté diseñada desde un
principio para (a través de varios niveles como la sandbox donde se
supone que se «encierra» el código), limitar su impacto, las
vulnerabilidades descubiertas permite eludir esta protección y ejecutar
otros códigos.
Además JRE está muy presente en casi cualquier
sistema operativo y arquitecturas, y esto ofrece mucha flexibilidad. Por
ejemplo, a los creadores de kits de explotación: incluyendo el
aprovechamiento de alguna de estas vulnerabilidades, podrían infectar
por igual diferentes plataformas.
Otra de las razones se encuentra
en la pésima idea de Sun de mantener las versiones antiguas en el
sistema (por compatibilidad). Con la aparición del Update 10 a finales
de 2008 decidió (por fin), modificar este comportamiento. Desde
entonces, cuando se actualiza la JRE, el mismo instalador elimina la
anterior. Pero históricamente, este perenne alojamiento de versiones ha
inculcado a los usuarios que, además de que actualizar Java no sirve de
mucho y es un proceso tedioso, consume importantes recursos en el
sistema (cientos de megas por versión).
Se recomienda actualizar a
la última versión, la Update 22.
Para los usuarios que no estén seguros de necesitar la máquina virtual
en la web, podrían probar a, directamente, deshabilitarla en sus
navegadores y habilitarlo sólo, a través de las zonas de Internet
Explorer o de plugins específicos para Firefox, para las webs que lo
necesiten (quizás se sorprendan al comprobar que no son tantas las
páginas que lo usan).
Fuente: hispasec
¿Te resultó interesante? Compártelo ...
