Deserialización provoca DoS en Sun Java JRE
Por Angela Ruiz

Secunia reporta una vulnerabilidad en el entorno de tiempo de ejecución Java de Sun (Sun Java Runtime Environment, JRE), la cuál puede ser explotada para provocar una denegación de servicio (DoS).

La vulnerabilidad es provocada por un error no especificado en el manejo de la serialización de objetos Java. Esto puede ser explotado para provocar el fallo de la máquina virtual de Java (JVM), a través de la deserialización de objetos desde una fuente no segura.

La serialización es un mecanismo mediante el cual se puede convertir un objeto en un flujo de bytes que represente su estado, y consecuentemente poder ser transportado a través de la red o almacenado de manera persistente en un sistema de archivos.

Java (J2SE), hace uso de ésta tecnología mediante un API (Application Program Interface), soportando la escritura y lectura de objetos en flujos de bytes, y definiendo una serie de características para proteger aquella información no susceptible de ser serializada.

La vulnerabilidad anunciada, ha sido reportada en las versiones 1.4.2 08, 1.4.2 09, y 1.5.0 05. Versiones anteriores también podrían ser afectadas.


Software vulnerable:
- Sun Java JDK 1.5.x
- Sun Java JRE 1.3.x
- Sun Java JRE 1.4.x
- Sun Java JRE 1.5.x / 5.x
- Sun Java SDK 1.3.x
- Sun Java SDK 1.4.x

Solución:
Próximas versiones de Sun Java Runtime Environment (JRE), corregirán este problema.
Es importante que cuando se actualicen dichas versiones, se desinstalen todas las versiones anteriores de Java, o las vulnerabilidades corregidas podrían igualmente ser explotadas.
Ello se explica en el siguiente artículo de Jose Luis López: "Sun Java pone en riesgo la seguridad de nuestro PC".

Créditos:
Marc Schoenefeld

(c) Video Soft
(c) VSAntivirus