Por Angela Ruiz
angela@videosoft.net.uy

Sun ha publicado varios documentos de seguridad, describiendo múltiples vulnerabilidades que afectan a sus productos, y que han sido corregidas en sus versiones más recientes, las cuáles deberían ser instaladas a la brevedad por los usuarios que utilicen Java en sus navegadores. Algunas de los fallos, no requieren un código específico para ser explotados exitosamente.

Dos vulnerabilidades en la máquina virtual de Java Runtime Environment (JRE), pueden permitir a aplicaciones o applets no confiables descargados de un sitio web, elevar sus propios privilegios. De ese modo, un applet (código para ejecutar pequeñas funcionalidades en las páginas Web), podría obtener los permisos para leer o escribir en archivos locales, o ejecutar aplicaciones que sean accesibles para el usuario actual.

Otra de las vulnerabilidades se produce al procesar documentos XML mediante XSLT, y puede provocar una denegación de servicio, o incluso la ejecución de código mediante una aplicación o applet descargados de Internet. XSLT (Extensible Stylesheet Language Transformations), o Transformaciones del Lenguaje Extensible de Hojas de Estilo, es un lenguaje que permite convertir documentos XML.

Cuatro vulnerabilidades, tres de ellas del tipo desbordamiento de búfer que afectan a Java Web Start, pueden permitir elevar los privilegios de una aplicación descargada de Internet, o incluso leer o escribir en archivos locales, o ejecutar código no solicitado. Java Web Start es un componente del entorno de ejecución de Java (JRE o Java Runtime Environment), que permite descargar y ejecutar aplicaciones Java desde la Web.

Un fallo en la seguridad de Java Plug-in, puede permitir a un applet descargado de Internet, eludir la seguridad que le impide la ejecución de código local. Java Plug-in se utiliza para conectar la tecnología Java a los navegadores de Internet mediante JavaScript (Java y JavaScript son cosas diferentes), permitiendo el uso de applets de Java.

Una vulnerabilidad en el intérprete de imágenes de Java Runtime, puede permitir que una aplicación o applet descargados de un sitio web malicioso, pueda ejecutar código a nivel local. Otras dos vulnerabilidades relacionadas con la administración del color, pueden ocasionar una denegación de servicio, haciendo que el programa deje de responder.

Otra vulnerabilidad en JRE, puede permitir que código en JavaScript descargado por el navegador, pueda conectarse a los servicios de red del sistema a través de las APIs de Java. Esto permite que se pueda acceder a archivos o a la explotación de vulnerabilidades en estos servicios.

No son vulnerables las siguientes versiones:
- Sun JRE (Windows Production Release) 1.4.2_17
- Sun JRE (Windows Production Release) 1.3.1_22
- Sun JRE (Solaris Production Release) 1.4.2_17
- Sun JRE (Solaris Production Release) 1.3.1_22
- Sun JRE (Linux Production Release) 1.4.2_17
- Sun JRE (Linux Production Release) 1.3.1_22
- Sun JRE 6.0 Update 5
- Sun JRE 5.0 Update 15
- Sun JDK 6.0 Update 5
- Sun JDK 5.0 Update 15
- Sun Java 2 Standard Edition SDK 1.4.2
- Sun Java 2 Standard Edition SDK 1.3.1_22

Para determinar la versión de Java instalada en su sistema Windows, abra una ventana de línea de comandos o símbolo de sistema y escriba la siguiente orden:

java -version


Solución:

Actualizarse a la versión más reciente de Sun Java desde el siguiente enlace:

Descargar el software de Java de Sun Microsystems

Para la mayoría de los usuarios domésticos, se instalará la versión 6 Update 5. Muchos usuarios de Windows, tienen alguna versión de Java instalada en su equipo. Debido a la gran cantidad de malware existente que intenta aprovecharse de agujeros de seguridad en este lenguaje, es aconsejable actualizarse a la misma a la brevedad.

Es importante recordar que luego de instalar esta versión, se deben desinstalar desde Agregar o quitar programas, todas las versiones anteriores de Java, ya que las mismas no son desinstaladas por defecto.

Sun Java pone en riesgo la seguridad de nuestro PC
Sun Java pone en riesgo la seguridad de nuestro PC

Hay actualizaciones para Windows, Linux y Solaris.


Más información:

Sun Java SE Multiple Security Vulnerabilities
Sun Java SE Multiple Security Vulnerabilities

Update Release Notes
Java SE 6 Update 5 Release Notes.








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus