Categories: CloudSeguridad

Detectan fallos en la comprobación de certificados por parte de Java

Hace unas semanas, Oracle introducía cambios en el sistema de seguridad del plug-in de Java para navegadores con el objetivo de solicitar permiso a los usuarios antes de ejecutar aplicaciones sin firmar. Algo que ha tenido un resultado final totalmente inesperado.

Y es que, según se ha descubierto ahora, Java no entorpece de manera clara la tarea de los ciberdelincuentes a la hora de colar malware en ordenadores de terceros.

Esto es así porque, por defecto, el plug-in no se lanza a comprobar el estado de los certificados digitales utilizados para firmar aplicaciones Java alojadas en sitios web, según informa Ars Technica.

O, dicho de otra manera, el software de Oracle admite ciertos certificados como confiables incluso cuando éstos han sido robados y publicados en bases de datos de revocación.

“Java cree que el certificado robado utilizado es 100% válido y se debe confiar en él”, dice Jindrich Kubec, director de inteligencia de amenazas en Avast. Por el contrario, “con CRL/OCSP quedaría marcado por no cumplir los requisitos predefinidos para ser confiable y, probablemente, presentaría diálogos completamente diferentes o simplemente no permitiría ejecutar el applet en absoluto”.

Como consecuencia, es posible que los usuarios de Java se encuentren desinformados y acaben instalando software malicioso a través de archivos JAR firmados.

Otro experto en seguridad, Eric Romang ha detectado este patrón de acción en un diccionario online de alemán que presentaba el fichero JAR como actualizado y firmado por la compañía Clearesult Consulting. La compañía es real y la firma otorgaba al archivo una apariencia de seguridad capaz de saltarse el bloqueo de applets no firmados. Sin embargo, había sido firmado con una clave privada robada y anulada el 7 de diciembre de 2012.

Como el problema no era detectado, al pulsar en ejecutar la aplicación se instalaba en el equipo y, con ella, el malware adjunto.

Mónica Tilves

Recent Posts

Yalo recibe el premio como innovador en los “Disruptive Jaguar Awards 2024” de Mastercard y Endeavor

Igual que en otras industrias, los servicios financieros están inmersos en una época de transformación…

15 horas ago

El Salvador, Guatemala y Honduras avanzan en velocidad y experiencia de internet

Según los informes de Ookla del primer semestre de 2024, los servicios de internet y…

16 horas ago

Niños y niñas en Snapchat: Cómo mantenerlos seguros

ESET analiza a qué riesgos se exponen niños en Snapchat, comparte consejos para garantizar su…

17 horas ago

Zoho Corporation utilizará NVIDIA NeMo para desarrollar LLMs

A través de este convenio, Zoho desarrollará Modelos de Lenguaje Extenso (LLMs) con las herramientas…

4 días ago

Más del 30% de las empresas de manufactura piensan implementar IA en sus procesos

La inteligencia artificial sigue tomando el mando de los procesos en general. Aunque no es…

4 días ago

Los jóvenes necesitan urgente oportunidades reales

Por Gastón Gorosterrazu, creador de Aptugo, herramienta de desarrollo visual inteligente

4 días ago