Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/02/2013
La ferramenta Oracle Java Runtime Environment (JRE) 1.7 permet a l’usuari executar aplicacions Java en el navegador o com a programes autònoms.
Aprofitant un nombre indeterminat de vulnerabilitats, una minaplicació Java sense firmar pot agafar privilegis i obtindre accés complet al sistema, sense necessitat de codi firmat. Altres vulnerabilitats poden ocasionar corrupció de memòria, que podria afectar tant miniaplicacions com aplicacions Java, depenent de la funcionalitat de les aplicacions i com gestionen la informació no confiable.
Un atacant remot podria executar un codi arbitrari en el sistema de la víctima i convéncer-lo perquè visite una pàgina HTML especialment dissenyada. S’ha de tindre en compte que aplicacions que utilitzen els components de renderitzatge web d’Internet Explorer, així com Microsoft Office o Windows Desktop Search, també poden ser usats com a vector d’atac per a estes vulnerabilitats. Les vulnerabilitats que afecten desplegaments de servidor de Java poden ser explotades si s’aconseguix que el servidor processe informació no confiable.
Almenys una d’estes vulnerabilitats està sent explotada activament en Internet.
Sistemes Afectats:
Java 7 Update 11 i anteriors.
Referències:CVE-2012-1541, CVE-2012-1543, CVE-2012-3213, CVE-2012-3342, CVE-2012-4301, CVE-2012-4305, CVE-2013-0351, CVE-2013-0409, CVE-2013-0419, CVE-2013-0423, CVE-2013-0424, CVE-2013-0425, CVE-2013-0426, CVE-2013-0427, CVE-2013-0428, CVE-2013-0429, CVE-2013-0430, CVE-2013-0431, CVE-2013-0432, CVE-2013-0433, CVE-2013-0434, CVE-2013-0435, CVE-2013-0436, CVE-2013-0437, CVE-2013-0438, CVE-2013-0439, CVE-2013-0440, CVE-2013-0441, CVE-2013-0442, CVE-2013-0443, CVE-2013-0444, CVE-2013-0445, CVE-2013-0446, CVE-2013-0447, CVE-2013-0448, CVE-2013-0449, CVE-2013-0450, CVE-2013-1472, CVE-2013-1473, CVE-2013-1474, CVE-2013-1475, CVE-2013-1476, CVE-2013-1477, CVE-2013-1478, CVE-2013-1479, CVE-2013-1480, CVE-2013-1481, CVE-2013-1482, CVE-2013-1483, CVE-2013-1489
Solució:Aplicar les últimes actualitzacions, a través de l’actualitzador automàtic de Java o descarregant l’última versió des del seu web.
Notes: