Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/08/2012
Oracle publica pegat fora de cicle per a 0-day de Java 7
En el butlletí publicat s’indica que es corregixen un total de 4 fallades a Java 7, una de les quals afecta també Java 6, per la qual cosa tots els usuaris que utilitzen qualsevol versió de Java han d’actualitzar els seus equips.De forma inesperada, Oracle ha publicat una actualització d’emergència per a solucionar les vulnerabilitats de dia zero aparegudes fa uns dies, que estaven sent explotades per diversos grups criminals.
A més, s’han inclòs pegats per a altres vulnerabilitats desconegudes fins ara, per la qual cosa s’assumix que també podrien haver sigut aprofitades de forma activa.
La bona notícia és que els usuaris que necessiten Java en els seus entorns poden desplegar un pegat oficial i mitigar així el risc. La mala notícia és que una de les fallades corregides també afecta Java 6, per la qual cosa tots els usuaris necessiten actualitzar, no sols els que tenen Java 7.
Oracle ha corregit quatre CVE, i cobrix presumiblement 5 vulnerabilitats. Pareix que la vulnerabilitat CVE-2012-4681 eren realment dos vulnerabilitats, però així i tot és difícil assegurar que s’han corregit 4 o 5 fallades.
Les tres primeres vulnerabilitats només afecten Java 7 i tenen una puntuació CVSS de 10, la qual cosa significa que es poden explotar de forma remota i el resultat és l'execució de codi. L’última afecta tant Java 7 com Java 6 però, per si sola, no provoca l’execució de codi. Oracle no ha especificat quin tipus de problema és, però basant-nos en la seua descripció pareix un problema d’escalada de privilegis.
El fet que Oracle haja inclòs esta quarta vulnerabilitat implica que estan detectant el seu ús junt amb les altres vulnerabilitats. Es recomana encaridament actualitzar de forma immediata.
Sistemes Afectats:Java 6 Update 34 i anteriors.
Java 7 Update 6 i anteriors.
Referències:CVE-2012-4681, CVE-2012-1682, CVE-2012-3136, CVE-2012-0547
Solució:Els desenvolupadors poden descarregar l’última versió del JDK i el JRE de Java SE versions 7 i 6 des de l’enllaç següent: Java Es Downloads.
Els usuaris que executen Java des d’un navegador poden descarregar les últimes versions de Java des de http://java.com. Els usuaris de plataformes Windows poden activar també les actualitzacions automàtiques per a rebre les últimes versions de Java.
Oracle Security Alert for CVE-2012-4681