CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/02/2013

Actualización fuera de ciclo para Java 7

Oracle ha publicado una actualización fuera de ciclo de Java para corregir varios fallos de seguridad detectados en la última versión de Java 7. Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema.

Riesgo: Crítico

La herramienta Oracle Java Runtime Environment (JRE) 1.7 permite al usuario ejecutar aplicaciones Java en el navegador o como programas autónomos.

Aprovechando un número indeterminado de vulnerabilidades, un applet Java sin firmar puede escalar privilegios y obtener acceso completo al sistema, sin necesidad de código firmado. Otras vulnerabilidades pueden ocasionar corrupción de memoria, que podría afectar tanto a applets como aplicaciones Java, dependiendo de la funcionalidad de las aplicaciones y cómo gestionan la información no confiable.

Un atacante remoto podría ejecutar código arbitrario en el sistema de la víctima convenciendolo para que visite una página HTML especialmente diseñada. Se debe tener en cuenta que aplicaciones que utilicen los componentes de renderizado web de Internet Explorer, así como Microsoft Office o Windows Desktop Search, también pueden ser usados como vector de ataque para estas vulnerabilidades. Las vulnerabilidades que afectan despliegues de servidor de Java pueden ser explotadas si se consigue que el servidor procese información no confiable.

Al menos una de estas vulnerabilidades está siendo explotada activamente en Internet.

Sistemas Afectados:

Java 7 Update 11 y anteriores.

Referencias:

CVE-2012-1541, CVE-2012-1543, CVE-2012-3213, CVE-2012-3342, CVE-2012-4301, CVE-2012-4305, CVE-2013-0351, CVE-2013-0409, CVE-2013-0419, CVE-2013-0423, CVE-2013-0424, CVE-2013-0425, CVE-2013-0426, CVE-2013-0427, CVE-2013-0428, CVE-2013-0429, CVE-2013-0430, CVE-2013-0431, CVE-2013-0432, CVE-2013-0433, CVE-2013-0434, CVE-2013-0435, CVE-2013-0436, CVE-2013-0437, CVE-2013-0438, CVE-2013-0439, CVE-2013-0440, CVE-2013-0441, CVE-2013-0442, CVE-2013-0443, CVE-2013-0444, CVE-2013-0445, CVE-2013-0446, CVE-2013-0447, CVE-2013-0448, CVE-2013-0449, CVE-2013-0450, CVE-2013-1472, CVE-2013-1473, CVE-2013-1474, CVE-2013-1475, CVE-2013-1476, CVE-2013-1477, CVE-2013-1478, CVE-2013-1479, CVE-2013-1480, CVE-2013-1481, CVE-2013-1482, CVE-2013-1483, CVE-2013-1489

Solución:

Aplicar las últimas actualizaciones, a través del actualizador automático de Java o descargando la última versión desde su web.

Notas:

US-CERT
Oracle

Fuente: US-CERT

CSIRT-CV