Los controles de seguridad implementados por Oracle en la última versión de Java siguen siendo insuficientes para luchar contra los errores del lenguaje, según afirman los investigadores de Security Explorations, que han descubierto una nueva brecha.
La recién encontrada vulnerabilidad se encuentra en una de las últimas versiones del lenguaje de Oracle y permitiría a atacantes potenciales ejecutar código Java sin firmar en sistemas Windows.
“Nuestra prueba de concepto que ilustra el Problema 53 se ha ejecutado con éxito en el entorno del último Java SE 7 Update 11 con sistema operativo Windows 7 y configuraciones de seguridad ‘muy altas’ del Panel de Control de Java”, explica Adam Gowdiak, director ejecutivo de Security Explorations en un mensaje que recoge Full Disclosure.
Para evitar este tipo de errores, Oracle añadió varios controles, como la opción de desactivar aplicaciones Java ejecutables en navegadores web o la posibilidad de establecer un nivel de seguridad personalizado para los applets no firmados. Pero no es suficiente, y los expertos recomiendan, si es imprescindible usar Java, que se utilice una tecnología Click to Play en los navegadores para mitigar el riesgo de exploit.
