Se ha descubierto una nueva vulnerabilidad en la máquina virtual Java de Oracle, afectando a las versiones 5, 6 y 7. Esta permitiría a un atacante ejecutar código fuera del sandbox de Java en cualquier máquina que ejecute un applet o una aplicación especialmente programada para ello.
En principio esta vulnerabilidad se manifiesta en cualquier navegador ejecutándose en cualquier versión de Windows, OS X, Linux y Solaris, aunque sólo ha sido testeada en Windows 7 totalmente parcheado y en su edición de 32 bits. Lo que se permite es, a grandes rasgos, la ejecución en el navegador de un applet o aplicación especialmente manipulado, y éste sea capaz de ejecutar código saltándose la protección de la máquina virtual (el sandbox), adquiriendo los mismos privilegios que el usuario que ejecutó el navegador.
No obstante no se han obtenido pruebas de que nadie esté explotando esta vulnerabilidad, por lo que podemos estar “más o menos tranquilos”, al menos hasta que Oracle lance una actualización que la parchee (ya sabe de la vulnerabilidad y de cómo se hace patente), dentro de, se supone, 3 semanas. Mientras, la recomendación habitual: desactivar la VM de Java para todos los sitios Web excepto para aquellos en los que confiemos específicamente.