Hace unas semanas, Oracle introducía cambios en el sistema de seguridad del plug-in de Java para navegadores con el objetivo de solicitar permiso a los usuarios antes de ejecutar aplicaciones sin firmar. Algo que ha tenido un resultado final totalmente inesperado.
Esto es así porque, por defecto, el plug-in no se lanza a comprobar el estado de los certificados digitales utilizados para firmar aplicaciones Java alojadas en sitios web, según informa Ars Technica.
O, dicho de otra manera, el software de Oracle admite ciertos certificados como confiables incluso cuando éstos han sido robados y publicados en bases de datos de revocación.
“Java cree que el certificado robado utilizado es 100% válido y se debe confiar en él”, dice Jindrich Kubec, director de inteligencia de amenazas en Avast. Por el contrario, “con CRL/OCSP quedaría marcado por no cumplir los requisitos predefinidos para ser confiable y, probablemente, presentaría diálogos completamente diferentes o simplemente no permitiría ejecutar el applet en absoluto”.
Como consecuencia, es posible que los usuarios de Java se encuentren desinformados y acaben instalando software malicioso a través de archivos JAR firmados.
Otro experto en seguridad, Eric Romang ha detectado este patrón de acción en un diccionario online de alemán que presentaba el fichero JAR como actualizado y firmado por la compañía Clearesult Consulting. La compañía es real y la firma otorgaba al archivo una apariencia de seguridad capaz de saltarse el bloqueo de applets no firmados. Sin embargo, había sido firmado con una clave privada robada y anulada el 7 de diciembre de 2012.
Como el problema no era detectado, al pulsar en ejecutar la aplicación se instalaba en el equipo y, con ella, el malware adjunto.
Por Douglas Wallace, Gerente de Ventas Distrital, América Latina y el Caribe (Excepto Brasil) en…
ESET comparte una serie de recomendaciones para gestionar el control sobre la información personal que…
A 10 minutos del aeropuerto y con una excelente conectividad hacia autopistas y puertos, esta…
El comercio mundial está experimentando una transformación tecnológica que involucra la adopción de nuevas herramientas…
“Las empresas que adopten estas tendencias estarán mejor preparadas para ofrecer experiencias excepcionales al cliente,…
Por Julio César Castrejón, Country Manager de Nutanix México.