Se ha detectado un repunte de ataques contra Java SE Runtime
Environment, que aprovechan vulnerabilidades de este software e instalan
malware, ensombreciendo por aplastante mayoría a los ataques contra el
Adobe Reader que últimamente parecía el preferido por los atacantes.
Venimos avisando desde hace algunos meses que los ataques contra Adobe
Reader en forma de archivo PDF especialmente manipulado viene siendo
la tónica habitual entre los atacantes. Desde el Microsoft Security
Intelligence Report descubren que, desde el segundo trimestre de 2010,
este tipo de ataques se ha visto totalmente ensombrecido por los ataques
contra Java SE Runtime Environment (JRE), aprovechando sus numerosas
vulnerabilidades.
Hace unos días Oracle, propietaria de los productos de Sun tras su
compra, publicaba una actualización de la plataforma JRE que corregía 29
problemas de seguridad, la mayoría bastante graves. Esta es la tónica
habitual en la JRE desde siempre. Ahora que Oracle se ocupa de sus
actualizaciones, la situación parece haber empeorado. Oracle ha incluido
el software en su ciclo trimestral de actualizaciones, lo que arrastra a
la máquina virtual de Java en el desastre (y oscuridad) típica de Oracle
en cuestión de gestión de fallos.
Los fallos que están siendo aprovechados en concreto son: CVE-2008-5353,
con 3.560.669 ataques detectados, CVE-2009-3867 con 2.638.311 y
CVE-2010-0094 con 213.502. Los ataques PDF apenas llegan a las decenas
de miles.
¿Por qué los atacantes prefieren ahora atacar la Java? Siempre ha
sido un objetivo muy apetitoso. A través de applets, los navegadores
descargan código y lo ejecutan en local con la máquina virtual. Esto
ya de por sí no es muy buena idea. Aunque la seguridad de Java esté
diseñada desde un principio para (a través de varios niveles como la
sandbox donde se supone que se “encierra” el código), limitar su
impacto, las vulnerabilidades descubiertas permite eludir esta
protección y ejecutar otros códigos.
Además JRE está muy presente en casi cualquier sistema operativo y
arquitecturas, y esto ofrece mucha flexibilidad. Por ejemplo, a los
creadores de kits de explotación: incluyendo el aprovechamiento de
alguna de estas vulnerabilidades, podrían infectar por igual diferentes
plataformas.
Otra de las razones se encuentra en la pésima idea de Sun de mantener
las versiones antiguas en el sistema (por compatibilidad). Con la
aparición del Update 10 a finales de 2008 decidió (por fin), modificar
este comportamiento. Desde entonces, cuando se actualiza la JRE, el
mismo instalador elimina la anterior. Pero históricamente, este perenne
alojamiento de versiones ha inculcado a los usuarios que, además de que
actualizar Java no sirve de mucho y es un proceso tedioso, consume
importantes recursos en el sistema (cientos de megas por versión).
Se recomienda actualizar a la última versión, la Update 22, disponible
desde
http://www.oracle.com/technetwork/java/javase/downloads/index.htm. Para
los usuarios que no estén seguros de necesitar la máquina virtual en la
web, podrían probar a, directamente, deshabilitarla en sus navegadores
y habilitarlo sólo, a través de las zonas de Internet Explorer o de
plugins específicos para Firefox, para las webs que lo necesiten (quizás
se sorprendan al comprobar que no son tantas las páginas que lo usan).
Fuente: Hispasec