Se ha detectado un repunte de ataques contra Java SE Runtime Environment, que aprovechan vulnerabilidades de este software e instalan malware, ensombreciendo por aplastante mayoría a los ataques contra el Adobe Reader que últimamente parecía el preferido por los atacantes.
Venimos avisando desde hace algunos meses que los ataques contra Adobe Reader en forma de archivo PDF especialmente manipulado viene siendo la tónica habitual entre los atacantes. Desde el Microsoft Security Intelligence Report descubren que, desde el segundo trimestre de 2010, este tipo de ataques se ha visto totalmente ensombrecido por los ataques contra Java SE Runtime Environment (JRE), aprovechando sus numerosas vulnerabilidades.
Hace unos días Oracle, propietaria de los productos de Sun tras su compra, publicaba una actualización de la plataforma JRE que corregía 29 problemas de seguridad, la mayoría bastante graves. Esta es la tónica habitual en la JRE desde siempre. Ahora que Oracle se ocupa de sus actualizaciones, la situación parece haber empeorado. Oracle ha incluido el software en su ciclo trimestral de actualizaciones, lo que arrastra a la máquina virtual de Java en el desastre (y oscuridad) típica de Oracle en cuestión de gestión de fallos.
Los fallos que están siendo aprovechados en concreto son: CVE-2008-5353, con 3.560.669 ataques detectados, CVE-2009-3867 con 2.638.311 y CVE-2010-0094 con 213.502. Los ataques PDF apenas llegan a las decenas de miles.
¿Por qué los atacantes prefieren ahora atacar la Java? Siempre ha sido un objetivo muy apetitoso. A través de applets, los navegadores descargan código y lo ejecutan en local con la máquina virtual. Esto ya de por sí no es muy buena idea. Aunque la seguridad de Java esté diseñada desde un principio para (a través de varios niveles como la sandbox donde se supone que se «encierra» el código), limitar su impacto, las vulnerabilidades descubiertas permite eludir esta protección y ejecutar otros códigos.
Además JRE está muy presente en casi cualquier sistema operativo y arquitecturas, y esto ofrece mucha flexibilidad. Por ejemplo, a los creadores de kits de explotación: incluyendo el aprovechamiento de alguna de estas vulnerabilidades, podrían infectar por igual diferentes plataformas.
Otra de las razones se encuentra en la pésima idea de Sun de mantener las versiones antiguas en el sistema (por compatibilidad). Con la aparición del Update 10 a finales de 2008 decidió (por fin), modificar este comportamiento. Desde entonces, cuando se actualiza la JRE, el mismo instalador elimina la anterior. Pero históricamente, este perenne alojamiento de versiones ha inculcado a los usuarios que, además de que actualizar Java no sirve de mucho y es un proceso tedioso, consume importantes recursos en el sistema (cientos de megas por versión).
Se recomienda actualizar a la última versión, la Update 22, disponible desde
http://www.oracle.com/technetwork/java/javase/downloads/index.htm. Para los usuarios que no estén seguros de necesitar la máquina virtual en la web, podrían probar a, directamente, deshabilitarla en sus navegadores y habilitarlo sólo, a través de las zonas de Internet Explorer o de plugins específicos para Firefox, para las webs que lo necesiten (quizás se sorprendan al comprobar que no son tantas las páginas que lo usan).
ssantos@hispasec.com
Más información:
Have you checked the Java?
http://blogs.technet.com/b/mmpc/archive/2010/10/18/have-you-checked-the-java.aspx
Actualización para Java corrige 29 vulnerabilidades
http://www.hispasec.com/unaaldia/4375
Java (por fin) eliminará las versiones antiguas al actualizar
http://www.hispasec.com/unaaldia/3658
Deja una respuesta