Oracle repara vulnerabilidad critica en Java

Publicado hace 7 años por en Noticias Seguridad Seguridad Informática

Una semana después de que se hiciera pública la existencia de un agujero crítico en Java, Oracle  ha liberado una actualización fuera de ciclo que mitiga la grave vulnerabilidad en el componente de Java llamado Java Web Start, cuya explotación podría permitir la ejecución remota de código.

El fallo se encuentra en Java Web Start y Java Deployment Toolkit de Internet Explorer y Firefox en todas las versiones desde Java SE 6 update 10 y posteriores provocada porque no se realiza una validación apropiada de los parámetros de entrada, tal y como lo reportó el investigador de Google Tavis Ormandy. Inicialmente, el equipo Java de Oracle dijo que no se trataba de una brecha lo suficientemente seria como para tener que lanzar un parche de actualización emergente, antes de su próximo boletín regular de seguridad, previsto para julio.

Sin embargo, parece que la compañía ha cambiado de opinión. La actualización que la resuelve es Java SE 6 versión 20, emitida ayer por Oracle para cubrir ésta y otras dos brechas de seguridad en Java.

Se puede comprobar si se es vulnerable visitando el siguiente enlace no malicioso que trata de ejecutar la calculadora en local explotando la vulnerabilidad:

Esta vulnerabilidad esta siendo explotada a través de servidores legítimos comprometidos, como http://songlyrics.com , y servidores maliciosos.

La solución esta en actualizar lo antes posible a  la versión de Java como se indica desde la página de Descarga de Java

Según algunas fuentes, en Internet Explorer la actualización no previene en el ataque en determinados casos, por lo que se recomienda que se configure el killbit de CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Puede encontrar las instrucciones para hacerlo en Microsoft

Referencias:


 

2 Comments

  1. Mario 10/13/2010, 9:58 Responder

    Hola,

    No es para la versión Java SE 6 update 10, mas bien POSTERIOR por favor lee bien el artículo del sitio oficial de Oracle:

    http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

    http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html

    Slds.

    Mario

    • Hans Steffens 10/13/2010, 10:57 Responder

      Estimado Mario.

      Con todo respeto, debo confesarte que quien debe leer bien el articulo eres tu.

      Se dijo claramente Java SE 6 Update 10 Y Posteriores (Since Java 6 Update 10). Además en este articulo estamos haciendo referencia a la vulnerabilidad reportada el paso mes de Abril.

      Gracias por leernos

Dejar un comentario