• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / ‘El error criptográfico del año’ es para Java

‘El error criptográfico del año’ es para Java

24 abril, 2022 Por agsutil Dejar un comentario

Esto no son buenas noticias ni para Oracle ni para los Amantes de Java, pues este ostenta, según el experto e investigador en Ciberseguridad Thomas Ptacek, el premio al «Error criptográfico del año», por su fácil explotación y sus problemas derivados del ataque.

Esta vulnerabilidad permitiría a un actor malicioso firmar digitalmente archivos u otros datos del mismo modo que lo haría la entidad legítima, e incluso permitiría que las descargas maliciosas pasaran por contenido benigno sin que las aplicaciones de Java pudieran identificar la actividad oculta.

Algunas versiones de Java, se ven afectadas por una vulnerabilidad en la validación de firma Elliptic Curve Digital Signature Algorithm (ECDSA)

Para realizar una verificación de la firma, se realizan unos cálculos donde actúan la clave pública de cualquier entidad/persona que haya utilizado anteriormente su firma digital, un Hash de los datos y los números (Estas firmas se componen de un par de números, designados con (R y S).

Para que la firma fuera verificada, ambas partes deben de ser iguales, por lo que si alguno de estos fallara, representaría que quién firmó los datos, no es quién dice ser. (Lógicamente)

En conclusión, para que la firma sea válida, el valor de (R y S) nunca podría ser (0,0), ya que el valor de estos se multiplica con otros valores, no pudiendo por ende dar cero.

¿Dónde se originaba el error?

En el código C++ (original) verificaba precisamente que el valor de (R y S) nunca fuera cero. En cambio, el nuevo código en Java, no verificaba esta condición. Por lo que si cualquier cantidad multiplicada por cero es igual a cero, cuando (S) tiene que dividir un valor entre 0, se desencadena la falla de verificación. De esta forma, ésta permitiría que toda clase de implementaciones Java pudieran verse comprometidas si esta falla es explotada, incluyendo tokens de autenticación o actualizaciones de código ,entre otras.

Catalogado con la asignación de identificación CVE-2022-21449, al principio Oracle «puntuó» esta falla con una gravedad de 7.5/10. Tras el análisis posterior de especialistas en Ciberseguridad que escrutiñaron por completo el informe, concluyeron que dicha falla merecía ser considerada con una puntuación crítica de 10/10. Lo que más llama la atención es la facilidad con la que puede ser explotada.

Más información:

https://twitter.com/tqbf/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Bitcoin

Open Source INTelligence (OSINT)

Hacking con buscadores

Archivado en: General Etiquetado con: java, vulnerabilidad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Multa de hasta 1 millón de dólares por una mala gestión de ransomware
  • Cómo limitar el acceso a nuestros recursos en AWS con nuevas claves condicionales
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Un banco español es condenado a pagar a una clienta víctima de phishing

Entradas recientes

  • Entrevista a Miroslav Stampar, creador de SQLMap
  • Cómo limitar el acceso a nuestros recursos en AWS con nuevas claves condicionales
  • Multa de hasta 1 millón de dólares por una mala gestión de ransomware
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Entrevista a Miroslav Stampar, creador de SQLMap
  • Cómo limitar el acceso a nuestros recursos en AWS con nuevas claves condicionales
  • Multa de hasta 1 millón de dólares por una mala gestión de ransomware
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...