Un problema de Java compromete la seguridad de varios navegadores
Sun publica un parche para cerrar esta vulnerabilidad, que afecta a Firefox, Internet Explorer y Opera
Jouko Pynnonen, un finlandés especializado en seguridad informática, ha descubierto un problema de la tecnología Java de Sun cuando trabaja conjuntamente con el navegador de Internet. La vulnerabilidad permite los ataques tanto en sistemas operativos Windows como Linux, afectando a Mozilla Firefox, Opera e Internet Explorer. El experto finlandés ya había avisado a Sun, que el martes publicó un parche para esta vulnerabilidad.
Cuando uno navega por Internet puede necesitar instalar programas adicionales en su ordenador para poder ver ciertos contenidos. A estas pequeñas piezas de software, añadidos que aumentan el poder del navegador, se les da el nombre de plug-ins por que funcionan 'enchufados' a otro programa. Uno de los más utilizados es el que permite ejecutar Java, un lenguaje impulsado por Sun.
Sun anunció el martes que las versiones anteriores a la versión 1.4.2_05 del plug-in de Java sufren una vulnerabilidad grave que supone un riesgo para sus usuarios, por lo que tanto la compañía informático como varias empresas de seguridad recomienda actualizar el plug-in a versiones posteriores.
Java es un lenguaje que puede ejecutarse casi en cualquier tipo de sistema. Para ello, necesita que exista un entorno propio, que en el caso de los navegadores proporciona el plug-in. Las aplicaciones en Java se ejecutarán entonces sobre él, y las acciones que realicen sólo tendrán efecto dentro de ese entorno, una caja cerrada conocida como sandbox.
Pero la vulnerabilidad descubierta permitiría construir aplicaciones en Java cuyos efectos tuvieran repercusión fuera de la sandbox. Así, un atacante podría construir una página web que, al ser visitada por un internauta con el plug-in no actualizado, podría ejecutar determinados comandos del sistema, obteniendo cierto control sobre la máquina asaltada.
Sun fue informada por Pynnonen sobre este problema el pasado 29 de abril -algo que agradece expresamente en su página-, y publicó el martes una actualización de plug-in que cierra el problema de seguridad. Ayer, un día después de que la vulnerabilidad se hiciera pública, el analista finlandés explicaba los detalles del problema en su web.
