ORACLE JAVA SE 6U161/7U151/8U144/9 RMI otra vulnerabilidad desconocida

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Otra vulnerabilidad clasificada como extremadamente crítica fue encontrada en Oracle Java SE 6u161/7u151/8u144/9.

Una función desconocida del componente RMI es afectada por esta vulnerabilidad.

Los efectos exactos de un ataque exitoso no son conocidos.

La vulnerabilidad fue publicada el 2017-10-19 con identificación Oracle Critical Patch Update Advisory – October 2017 con un advisory (Website) (validado).

El advisory puede ser descargado de oracle.com.

La vulnerabilidad es identificada como CVE-2017-10285.

Resulta muy simple para ser explotada.

El ataque se puede llevar a cabo desde la red.

No se conoce los detalles técnicos ni hay ningún exploit disponible.

Una actualización elimina esta vulnerabilidad.

Una solución posible ha sido publicada inmediatamente después de la publicación de la vulnerabilidad.

La explosión de vulnerabilidades que están apareciendo en las plataformas Oracle, están siendo parchadas de forma responsable, pero hay que tener en cuenta el peso de la necesidad de que el usuario aplique los parches en tiempo y forma.

Con un CVSSv3 Temp Score de 9.2, habla de una vulnerabilidad altamente peligrosa que expone al sistema ante cualquier ciber criminal que la explote.

Esta vulnerabilidad se aplica a las implementaciones Java, normalmente en clientes que ejecutan aplicaciones sandboxed de Java Web Start o applets de sandboxes Java, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y confían en el entorno limitado de Java para seguridad.

Esta vulnerabilidad no se aplica a las implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código de confianza.

El seguimiento de la información sobre las vulnerabilidades que aparecen a diario es una buena práctica que nos hay que abandonar, la cual muchas veces es no tomada en cuenta, por culpa de atender lo urgente antes que lo importante.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris