Avisan de vulnerabilidad en viejos instaladores de Java

Seamos sinceros, todos hemos hecho alguna vez eso de dejar los viejos instaladores en la carpeta de descargas durante mucho tiempo, algo que puede parecer que no presenta problema alguno más allá de ocupar unos pocos megas de espacio, pero lo cierto es que supone un riesgo de seguridad en el caso de Java.

Según ha confirmado la compañía los viejos instaladores de Java que tengamos en nuestros equipos deben ser eliminados inmediatamente, ya que son vulnerables a un tipo de ataque conocido como binary planting («plantado binario» en una traducción literal).

Dicho tipo de ataque es muy complejo así que la vulnerabilidad no es para nada fácil de explotar, ya que requiere la colocación de DLLs maliciosos en el directorio de descargas del navegador, que en cualquier caso sólo serán efectivos si el usuario ejecuta los instaladores Java vulnerables.

¿Cómo se produce exactamente? No es complicado de explicar. Los instaladores «viejos» de Java están diseñados para buscar e instalar de forma predeterminada ciertos archivos DLL que se encuentran en el directo de descargas por defecto del navegador, de ahí la necesidad del paso que mencionamos en el párrafo anterior.

Sí, como anticipamos es una vulnerabilidad compleja pero peligrosa, ya que una vez que se produce puede comprometer todo el sistema. Afecta a los instaladores con versiones inferiores a 6u113, 7u97 y 8u73.

Más información: DvHardware.