Hace unas semanas, Oracle introducía cambios en el sistema de seguridad del plug-in de Java para navegadores con el objetivo de solicitar permiso a los usuarios antes de ejecutar aplicaciones sin firmar. Algo que ha tenido un resultado final totalmente inesperado.
Esto es así porque, por defecto, el plug-in no se lanza a comprobar el estado de los certificados digitales utilizados para firmar aplicaciones Java alojadas en sitios web, según informa Ars Technica.
O, dicho de otra manera, el software de Oracle admite ciertos certificados como confiables incluso cuando éstos han sido robados y publicados en bases de datos de revocación.
“Java cree que el certificado robado utilizado es 100% válido y se debe confiar en él”, dice Jindrich Kubec, director de inteligencia de amenazas en Avast. Por el contrario, “con CRL/OCSP quedaría marcado por no cumplir los requisitos predefinidos para ser confiable y, probablemente, presentaría diálogos completamente diferentes o simplemente no permitiría ejecutar el applet en absoluto”.
Como consecuencia, es posible que los usuarios de Java se encuentren desinformados y acaben instalando software malicioso a través de archivos JAR firmados.
Otro experto en seguridad, Eric Romang ha detectado este patrón de acción en un diccionario online de alemán que presentaba el fichero JAR como actualizado y firmado por la compañía Clearesult Consulting. La compañía es real y la firma otorgaba al archivo una apariencia de seguridad capaz de saltarse el bloqueo de applets no firmados. Sin embargo, había sido firmado con una clave privada robada y anulada el 7 de diciembre de 2012.
Como el problema no era detectado, al pulsar en ejecutar la aplicación se instalaba en el equipo y, con ella, el malware adjunto.
Además, durante el primer trimestre de 2024 sus ingresos crecieron un 21 % hasta los…
El hasta ahora director general para Iberia se pone al frente de la compañía en…
Esta solución funciona bajo demanda y permite elegir tanto el lenguaje como el entorno de…
Juntas, ayudarán a clientes de diferentes sectores a adoptar la inteligencia artificial para reinventar sus…
Su línea de Mid-Market & Corporate, orientada a empresas medianas, ofrecerá servicios cloud, de gestión…
Durante el primer trimestre del año aumentaron un 0,5 % hasta los 30,8 millones de…