Vulnerabilidad en Múltiples vulnerabilidades en Java de Oracle (CVE-2013-0422)

Múltiples vulnerabilidades en Java de Oracle versión 7 anterior a Update 11, permiten a los atacantes remotos ejecutar código arbitrario mediante (1) utilizando el método público getMBeanInstantiator en la clase JmxMBeanServer para obtener una referencia a un objeto MBeanInstantiator privado, a continuación, recuperar referencias arbitrarias Class mediante el método findClass y (2) mediante la API Reflection con recursión de una manera que omita una comprobación de seguridad mediante el método java.lang.invoke.MethodHandles.Lookup.checkSecurityManager debido a la incapacidad del método sun.reflect.Reflection.getCallerClass para omitir marcos relacionados con la nueva API reflection, como se explotó “in the wild” en Enero de 2013, como es demostrado por Blackhole y Nuclear Pack, y una vulnerabilidad diferente de CVE-2012-4681 y CVE-2012-3174. NOTA: algunas partes han mapeado el problema recursivo de la API Reflection al CVE-2012-3174, pero el CVE-2012-3174 es para una vulnerabilidad diferente cuyos detalles no son públicos a partir de 20130114. El CVE-2013-0422 cubre los problemas de JMX/MBean y API Reflection. NOTA: originalmente se informó que Java versión 6 también era vulnerable, pero el reportero se ha retractado de esta afirmación, declarando que Java versión 6 no es explotable porque el código relevante se llama de una manera que no omita las comprobaciones de seguridad. NOTA: a partir de 20130114, un tercero confiable ha afirmado que el vector findClass/MBeanInstantiator no se corrigió en Java de Oracle versión 7 Update 11. Si todavía hay una condición vulnerable, se podría crear un identificador CVE independiente para el problema no corregido.