Hace 30 meses Oracle corrigió un fallo de seguridad en el entorno de desarrollo de Java que dejaba a sus usuarios expuestos a ataques. Junto a la publicación del parche se publicó el código malicioso que permitía aprovecharse de los usuarios. Sin embargo, una compañía polaca ha descubierto que la vulnerabilidad sigue presente.
Desde Security Explorations, han procedido a modificar cuatro caracteres del código del programa malicioso y emplear un servidor personalizado. De esta forma, han verificado que los usuarios de Java siguen siendo vulnerables al fallo supuestamente solventado con el parche lanzado hace casi tres años.
Las pruebas las han realizado con Java SE Update 97, Java SE 8 Update 74, y Java SE 9 Early Access Build 108. Han constatado que Oracle no evaluó correctamente el alcance de la vulnerabilidad, al comprobarse que puede ser aprovechado en entornos de servidor, como en la máquina de la aplicación de Google para Java, a parte de en las aplicaciones de acceso limitado (sandbox). Por el momento no hay constancia de que este fallo esté empleándose a gran escala.
Vía: Ars Technika.