Parches no oficiales publicados para fallas de Java revelados por Google Project Zero

vulnerabilidad

Se han publicado parches de seguridad no oficiales para dos fallas de Oracle Java Runtime Environment (RE) que aún no se han resuelto y han sido descubiertas por el investigador Google Project Zero.

Se han publicado parches de seguridad no oficiales para dos vulnerabilidades de Oracle Java Runtime Environment (RE) descubiertas por el investigador Mateusz Jurczyk de Google Project Zero. La compañía aún no ha publicado una actualización oficial para abordar las dos vulnerabilidades.

El 18 de febrero, los expertos de Google Project Zero revelaron públicamente los detalles de cuatro vulnerabilidades de Java RE causadas por problemas de lectura fuera de los límites basados ​​en el montón. Los expertos de Project Zero los rastrearon internamente como 1779 , 1780 , 1781 y 1782 y los calificaron como de "gravedad media".

Los expertos utilizaron una técnica de fuzzing para probar las fuentes TrueType y OpenType.

Los agujeros de seguridad se descubrieron durante las pruebas fuzz dirigidas al procesamiento de fuentes TrueType y OpenType.

Google Project Zero informó sobre las fallas a Oracle el 12 de febrero y decidió divulgar públicamente los detalles técnicos de los problemas después de que Oracle dijera que solo solucionaría los problemas en una versión futura de Java. Oracle dijo que "el escenario descrito no proporciona una manera para que un atacante pueda explotar el sistema del usuario directamente". A mediados de marzo, Oracle anunció eso y decidió que los parcheará en una versión futura de Java RE.

El parche de ACROS Security anunció la disponibilidad de sus propios parches para dos de los defectos descubiertos por Google Project Zero, que los usuarios de Java pueden obtener de forma gratuita. La compañía lanzará los parches para los errores restantes muy pronto.

Los parches fueron desarrollados para evitar la explotación de la vulnerabilidades terminando la ejecución de java.exe cuando se detecta un acceso fuera de los límites.

"Ambas vulnerabilidades son microparcade manera similar: cuando se detecta un acceso fuera de los límites, la ejecución de java.exe se termina y se informa de "Exploit Blocked". Sentimos que tratar de desinfectar la entrada maliciosa era demasiado arriesgado y podría simplemente mover la vulnerabilidad a otra parte. ”lee un Tweet publicado por 0patch.

Los parches solo funcionan en Java 8 update 202.

“Tenga en cuenta que estos parches solo se aplican a la actualización 202 de Java 8, que es una“ PSU ”(“ Actualización del conjunto de parches ”, consulte (enlace: https://www.oracle.com/technetwork/java/javase/cpu-psu- explicado-2331472.html) oracle.com/tecnología de red/ ja… ), ya que esta es la versión de Project Zero's @ j00ru en la que realizó su análisis. La mayoría de los usuarios de Java que actualizan regularmente se espera que estén en la actualización “CPU” 201.” continúa 0patch.

Los expertos coinciden en que la explotación de estas vulnerabilidades no representa un riesgo grave para los usuarios de Java RE.

Oracle planea lanzar la próxima CPU el 16 de abril, veamos si incluirá parches para estas vulnerabilidades.

Semrush sigue a tu competencia


Fecha actualización el 2019-04-08. Fecha publicación el 2019-04-08. Categoria: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil