La Máquina Virtual Java de Microsoft o Microsoft VM es el entorno que se ofrece para sistemas operativos basados en Win32, por lo que funciona bajo Windows 95, 98 y Windows NT. Se distribuye como parte de cada sistema operativo y además junto con Internet Explorer. La versión de Microsoft VM que se distribuye junto con Internet Explorer en sus versiones 4.0 y 5.0 contiene un agujero de seguridad por el cual un applet puede llegar a operar fuera de los límites marcados por la sandbox y realizar cualquier acción en el ordenador del usuario.
Si un applet maligno se salta el control de la sandbox dispondrá de todos los privilegios para crear, borrar o modificar archivos, copiar datos o en general realizar cualquier acción para la que esté programado. La vulnerabilidad no puede ser explotada de forma accidental, ya que sólo es posible a través de una serie de pasos cuidadosamente construidos.
Cualquier ordenador con Internet Explorer 4.0 o 5.0 tiene instalada una versión vulnerable de la M quina Virtual, por lo que ser necesaria la administraci¢n del parche distribuido por Microsoft en la direcci¢n
http://www.microsoft.com/java/vm/dl_vm32.htm .
M s informaci¢n:
Bolet¡n de Microsoft:
http://www.microsoft.com/Security/Bulletins/MS99-031.asp
Preguntas y respuestas sobre la vulnerabilidad:
http://www.microsoft.com/security/bulletins/MS99-031faq.asp
Parche:
http://www.microsoft.com/java/vm/dl_vm32.htm
Antonio Ropero
HISPASEC
MICROSOFT ARREGLA SU MAQUINA VIRTUAL JAVA
189
anterior