Java Plug-In en el micrositio del SAT para Informes de Actividades Vulnerables

En una entrada anterior de este blog abordé algunas incongruencias que un servidor ha encontrado entre las disposiciones de la Ley Federal de Protección de Datos Personales y la Ley para Prevenir e Identificar Operaciones con Recursos de Procedencia Ilícita.

Dicho lo anterior, si bien es destacable que, contrario a lo que suele suceder con las plataformas de diversas autoridads en Internet (como el Registro de Contratos de Adhesión en Línea de la PROFECO -léase al calce “Esta página no funciona con navegadores como: Firefox, Mozilla, Safari, etc.”-), que el Micrositio del SAT para la captura y envío de los Avisos que quienes realicen Actividades Vulnerables deben presentar ante dicha autoridad haya sido diseñado para operar con los 3 de los navegadores de uso más ampliamente utilizados (Internet Explorer, Mozilla Firefox y Google Chrome, y nótese que se olvidaron del Safari), y sin pretender ser un experto en informática (soy abogado y profesional en protección de datos personales), llama la atención haber recurrido a “plug-ins” de Java, lo cual podría parecer no haber sido la decisión más atinada.

Al pulsar sobre el ícono de Acceso al Sistema del Portal en Internet, además de , Firefox despliega una advertencia en la esquina superior izquierda advirtiendo la existencia de vulnerabilidades del plug-in de Java Deployment Toolkit para ese sitio. Al consultar información del navegador sobre el potencial riesgo, el mismo despliega los siguientes textos:

Java Prevention BlockMozilla Java Toolkit PlugIn WarningBuscando información al respecto, encontré en la página del US-CERT (United States Computer Emergency Readiness Team), que explica lo siguiente: http://www.us-cert.gov/ncas/alerts/TA13-010A

Overview

A vulnerability in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system.

Description

A vulnerability in the Java Security Manager allows a Java applet to grant itself permission to execute arbitrary code. An attacker could use social engineering techniques to entice a user to visit a link to a website hosting a malicious Java applet. An attacker could also compromise a legitimate web site and upload a malicious Java applet (a “drive-by download” attack).
(énfasis añadido)

Any web browser using the Java 7 plug-in is affected. The Java Deployment Toolkit plug-in and Java Web Start can also be used as attack vectors.

Reports indicate this vulnerability is being actively exploited, and exploit code is publicly available.

Further technical details are available in Vulnerability Note VU#625617.

Impact

By convincing a user to load a malicious Java applet or Java Network Launching Protocol (JNLP) file, an attacker could execute arbitrary code on a vulnerable system with the privileges of the Java plug-in process.

Solution

Update Java

De lo anterior habrían tres cosas que destacar:

  1. El SAT debería haber considerado el desarrollo del micrositio para Safari, no sólo para navegadores que corren sobre sistemas operativos de MicroSoft. Sin embargo habiendo hecho la prueba de acceder a través de iOS utilizando Safari el micrositio no presentó dificultad.
  2. También debería haberse considerado utilizar un lenguaje de programación que presentara menos vulnerabilidades, y
  3. La seguridad informática y de información no es sólo tarea de quien desarrolla un sitio o plataforma, sino también de quien accede a ellos; es necesario que el usuario aplique las elementales precauciones de mantener su software actualizado, contar con anti-malware (no sólo anti-virus) y ejerza el mínimo y elemental cuidado de evitar descargar contenidos riesgosos o de dudosa procedencia, así como evitar acceder a URLs desconocidos.

Las opiniones al respecto de expertos en seguridad informática serán bienvenidas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site