0-day en Java

12/04/2010 - Un ingeniero e investigador de Google ha alertado de un fallo de seguridad 0-day en Java que podría permitir a un hacker ejecutar una aplicación arbitraria en un ordenador con sistema operativo Windows si se visita una página web que aloje código malicioso.

El problema se produce en como son validadas las URL por un complemento conocido como Java Deployment Toolkit, lo que permite que un atacante introduzca parámetros arbitrarios que permiten la ejecución de aplicaciones no autorizadas por línea de comandos.

El ingeniero advierte que deshabilitar el plug-in de Java no servirá para proteger el equipo. La vulnerabilidad afecta a todas las versiones de Windows y los navegadores más populares como Firefox, Internet Explorer y Chrome.

Oracle, propietario de Java, conoce la vulnerabilidad 0-day aunque según parece no la considera de suficiente peligrosidad como para alterar su ciclo habitual de actualizaciones, por lo que hasta la fecha no existen soluciones ni recomendaciones de seguridad de forma oficial.