Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/01/2013
Oracle i Microsoft llancen pegats d'emergència per a Java i IE
Les vulnerabilitats de seguretat d’alt risc que afectaven Java 7 i Internet Explorer 6, 7 i 8 quedaran resoltes finalment els pròxims dies.
La setmana passada s’advertia que els hackers estaven explotant una vulnerabilidad crítica a Java utilizando pàgines webs compromeses com a plataformes per a instal·lar enregistradors de teclat i altres programes maliciosos en els ordinadors de les víctimes.
La indústria esperava la reacció d’Oracle, responsable de Java des de la compra de Sun Microsystems a l’abril de 2009, que podia optar per llançar un pedaç d’emergència o deixar esperant els usuaris fins que es complira el cicle d’actualitzacions del programari.
Per a descans de tots, la companyia ha optat per la primera opció i llança Java 7 Update, que soluciona un total d’onze fallades i que está disponible tant en el web d’Oracle com a través del tauler de control de Java.
La vulnerabilitat era explotada per un cavall de Troia conegut com a Mal/JavaJar-B, que ja s’utilitzava per a llançar atacs contra Windows, Mac i Linux i que es distribuïx en ferramentes d’exploits com Blackhole i NuclearPack, cosa que fa que siga molt accessible als ciberdelinqüents.
A més de l’error de Java, els internautes podien patir les conseqüències d’un error de seguretat encara sense resoldre en Internet Explorer 6, 7 i 8, que també pareix que està a punt de solucionar-se. El dilluns 14 de gener, fent cas omís del seu programa d’actualitzacions els segons dimarts de mes, Microsoft llançarà pedaços per a les versions afectades del seu navegador per un problema de corrupció de memòria que es pot explotar a través d’un atac drive-by-download, un terme utilitzat per a referir-se a un lloc carregat amb codi d’atac que envia programari maliciós a qualsevol ordinador que el visite.
Encara que Microsoft intentà incorporar el pedaç definitiu en la seua actualització de seguretat de gener, no li va donar temps. Mentres acabava el pedaç definitiu, la companyia va llançar-ne un que intentava frenar el problema. Només en comptades ocasions, quan la vulnerabilitat està considerada “d’alt risc”, Microsoft llança pedaços d’emergència.
El pedaç, que es llançarà al matí, serà distribuït a través de Windows Update. Microsoft ha advertit als que van aplicar el primer pedaç que no l’hauran de desinstal·lar i que la solució a la vulnerabilitat s’instal·larà automàticament en els ordinadors que tinguen activades les actualitzacions automàtiques.