Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/08/2012
Oracle publica parche fuera de ciclo para 0-day de Java 7
En el boletín publicado, se indica que se corrigen un total de 4 fallos en Java 7, uno de los cuales afecta también a Java 6, por lo que todos los usuarios que utilicen cualquier versión de Java deben actualizar sus equipos.De forma inesperada, Oracle ha publicado una actualización de emergencia para solucionar las vulnerabilidades de día cero aparecidas hace unos días, que estaban siendo explotadas por varios grupos criminales.
Además, se han incluido parches para otras vulnerabilidades desconocidas hasta ahora, por lo que se asume que también podrían haber sido aprovechadas de forma activa.
La buena noticia es que los usuarios que necesitan Java en sus entornos pueden desplegar un parche oficial y mitigar así el riesgo. La mala noticia es que uno de los fallos corregidos también afecta a Java 6, por lo que todos los usuarios necesitan actualizar, no solo los que tienen Java 7.
Oracle ha corregido cuatro CVE, cubriendo presumiblemente 5 vulnerabilidades. Parece que la vulnerabilidad CVE-2012-4681 eran realmente dos vulnerabilidades, pero aún así es dificil asegurar que se hayan corregido 4 o 5 fallos.
Las tres primeras vulnerabilidades solo afectan a Java 7 y tienen una puntuación CVSS de 10, lo que significa que se pueden explotar de forma remota, y el resultado es ejecución de código. La última afecta tanto a Java 7 como Java 6 pero, por si sola, no provoca la ejecución de código. Oracle no ha especificado que tipo de problema es, pero basándonos en su descripción parece un problema de escalado de privilegios.
El hecho de que Oracle haya incluido esta cuarta vulnerabilidad implica que están detectando su uso junto con las otras vulnerabilidades. Se recomienda encarecidamente actualizar de forma inmediata.
Sistemas Afectados:Java 6 Update 34 y anteriores.
Java 7 Update 6 y anteriores.
Referencias:CVE-2012-4681, CVE-2012-1682, CVE-2012-3136, CVE-2012-0547
Solución:Los desarrolladores pueden descargar la última versión del JDK y el JRE de Java SE versiones 7 y 6 desde el siguiente enlace: Java SE Downloads.
Los usuarios que ejecuten Java desde un navegador pueden descargar las últimas versiones de Java desde http://java.com. Los usuarios de plataformas Windows puedenactivar también las actualizaciones automáticas para recibir las últimas versiones de Java.
Oracle Security Alert for CVE-2012-4681