Categories: CloudSeguridad

Detectan fallos en la comprobación de certificados por parte de Java

Hace unas semanas, Oracle introducía cambios en el sistema de seguridad del plug-in de Java para navegadores con el objetivo de solicitar permiso a los usuarios antes de ejecutar aplicaciones sin firmar. Algo que ha tenido un resultado final totalmente inesperado.

Y es que, según se ha descubierto ahora, Java no entorpece de manera clara la tarea de los ciberdelincuentes a la hora de colar malware en ordenadores de terceros.

Esto es así porque, por defecto, el plug-in no se lanza a comprobar el estado de los certificados digitales utilizados para firmar aplicaciones Java alojadas en sitios web, según informa Ars Technica.

O, dicho de otra manera, el software de Oracle admite ciertos certificados como confiables incluso cuando éstos han sido robados y publicados en bases de datos de revocación.

“Java cree que el certificado robado utilizado es 100% válido y se debe confiar en él”, dice Jindrich Kubec, director de inteligencia de amenazas en Avast. Por el contrario, “con CRL/OCSP quedaría marcado por no cumplir los requisitos predefinidos para ser confiable y, probablemente, presentaría diálogos completamente diferentes o simplemente no permitiría ejecutar el applet en absoluto”.

Como consecuencia, es posible que los usuarios de Java se encuentren desinformados y acaben instalando software malicioso a través de archivos JAR firmados.

Otro experto en seguridad, Eric Romang ha detectado este patrón de acción en un diccionario online de alemán que presentaba el fichero JAR como actualizado y firmado por la compañía Clearesult Consulting. La compañía es real y la firma otorgaba al archivo una apariencia de seguridad capaz de saltarse el bloqueo de applets no firmados. Sin embargo, había sido firmado con una clave privada robada y anulada el 7 de diciembre de 2012.

Como el problema no era detectado, al pulsar en ejecutar la aplicación se instalaba en el equipo y, con ella, el malware adjunto.

Mónica Tilves

Recent Posts

IA, entrenamiento, inferencia y RAG: un nuevo amanecer para la IA

Por Douglas Wallace, Gerente de Ventas Distrital, América Latina y el Caribe (Excepto Brasil) en…

1 hora ago

Cómo eliminar datos personales de los resultados de búsqueda de Google

ESET comparte una serie de recomendaciones para gestionar el control sobre la información personal que…

2 horas ago

La renovada y amplia bodega de DHL Global Forwarding

A 10 minutos del aeropuerto y con una excelente conectividad hacia autopistas y puertos, esta…

3 horas ago

Ciberseguridad: cómo las tiendas se adaptan a la tecnología para competir

El comercio mundial está experimentando una transformación tecnológica que involucra la adopción de nuevas herramientas…

1 día ago

DispatchTrack presenta las 5 tendencias más innovadoras de última milla para 2025

“Las empresas que adopten estas tendencias estarán mejor preparadas para ofrecer experiencias excepcionales al cliente,…

1 día ago

Predicciones 2025: La inteligencia artificial seguirá ganando terreno con la nube

Por Julio César Castrejón, Country Manager de Nutanix México.

1 día ago