La empresa estaba en conocimiento desde hace meses de las vulnerabilidades presentadas por Java 7, las cuales estaban siendo explotadas para realizar ataques de malware, según informó la firma Security Explorations.
Security Explorations informó de 19 problemas de seguridad en Java 7 a Oracle el pasado 2 de abril. Esas cuestiones incluyen los dos día cero – sin parches – vulnerabilidades que los atacantes están explotando para infectar con malware.
La compañía continuó informando de las vulnerabilidades de Java en los meses siguientes hasta que el número total llegó a 29.
“Demostramos 16 compromisos en la sandbox de Java SE 7 caja con el uso de nuestros bugs”, indicó el CEO Adam Gowdiak.
De acuerdo con los investigadores, el exploit de Java publicado en línea esta semana e integrado al conjunto de herramientas de Blackhole hace uso de dos vulnerabilidades de Java no una, como se creía anteriormente.
“El primer error fue utilizado para obtener una referencia a la clase sun.awt.SunToolkit que se limita a los applets, mientras que el segundo error invoca el método estático público getField en SunToolkit utilizando la reflexión con un interlocutor de confianza inmediato sin pasar por un control de seguridad”, explicó Esteban Guillardoy.
Si bien estas dos vulnerabilidades: una en la clase ClassFinder y uno en la clase MethodFinder, fueron encontrados y reportados por las exploraciones de seguridad en abril, las pruebas de concepto suministradas por la empresa a Oracle estaban combinadas con otros bugs, no juntos.
Debido a esto, el investigador cree que el nuevo exploit es probablemente el resultado de otra persona independiente descubriendo las mismas vulnerabilidades, en lugar de una fuga en alguna parte de la información en el informe de vulnerabilidad en el tratamiento de procesos.
De acuerdo con un informe de estado recibido el 23 de agosto de Oracle, la compañía tenía la intención de fijar las dos vulnerabilidades en su Actualización de Parches Críticos de octubre (CPU), junto con otros 17 errores de Java 7 reportados por las exploraciones de seguridad.
Oracle libera parches de seguridad cada cuatro meses. La última CPU Java fue lanzada en junio y sólo se abordan tres de los problemas de seguridad reportados por la empresa de seguridad polaca.
“Aunque nos mantenemos en contacto con Oracle y el proceso de comunicación ha sido absolutamente impecable hasta el momento, no sabemos por qué Oracle dejó tantos errores graves para la CPU octubre”, recalcó Gowdiak.
Más detalles en: PC World