Microsoft alerta sobre la existencia de un "agujero" en su software Java
Microsoft ha emitido una alerta de seguridad “crítica” relacionada con su máquina virtual Java (JVM), asegurando que un fallo en el producto puede permitir a los piratas informáticos visualizar la información de los usuarios mientras navegan por la Web.
Microsoft es uno de los diversos fabricantes que cuentan en su oferta con una JVM, consistente en un programa software que permite que aplicaciones escritas en Java puedan correr sobre cualquier ordenador, independientemente del sistema operativo que éste utilice. La compañía ha incluido su JVM en Windows 98, Windows ME y Windows 2000, así como en su navegador Internet Explorer a partir de la versión 5.5.
El error en el software JVM de Microsoft hace posible que un hacker visualice la información del usuario cuando ésta pasa a través de un servidor proxy. Las empresas frecuentemente recurren a este tipo de servidores para realizar funciones de gateways (pasarelas) en el tráfico Internet de sus empleados, algunas veces con el propósito de facilitar al administrador bloquear la entrada de los trabajadores a determinados sitios Web.
Para explotar la vulnerabilidad de JVM, el hacker necesita atraer con algún señuelo a la víctima hacia un sitio Web donde previamente haya instalado un applet Java malicioso. Cuando el usuario involuntariamente descarga el applet, al hacker puede visualizar la información relativa al visitante en cuestión mientras está conectado al proxy, según ha explicado la propia Microsoft.
Hasta que la víctima cierra el navegador, el pirata puede registrar los sitios Web por ella visitados e incluso la información que vaya introduciendo en ellos. Sin embargo, la tecnología de seguridad SSL (Secure Socket Layer), utilizada en muchos sitios evita que la información encriptada sea accesible por este sistema. En el caso de usuarios particulares el problema no resulta tan grave, dado que la mayoría de ellos no acceden a Internet a través de servidores proxies.
Microsoft ha desarrollado una actualización para su JVM que elimina tanto este fallo como otras vulnerabilidades previamente detectadas en el producto. Además, el fabricante de software está trabajando en su JVM con el propósito de que pueda ser descargada para el sistema operativo Windows XP.
Tras una disputa legal con Sun Microsystems, la empresa creadora de Java, Microsoft hasta ahora había adoptado la decisión de no incluir una JVM con Windows XP, pero otros fabricantes, como Dell Computer y Compaq Computer, suministraban el software ya instalado en sus nuevas plataformas.
www.microsoft. com
