Tavis Ormandy y Ruben Santamarta han descubierto de forma independiente una vulnerabilidad en Sun Java clasificada de Altamente Critica(4 de un total de 5) por Secunia Advisory que puede ser explotada por personas malintencionadas para comprometer el sistema de un usuario.

La vulnerabilidad es causada debido a un error de entrada de saneamiento en el plugin de navegador Java Deployment Toolkit. Esto puede ser aprovechado para pasar argumentos arbitrarios a javaw.exe y e.g. ejecutando un fichero JAR colocado en un recurso compartido de red en un contexto privilegiado.

Una explotación exitosa permite la ejecución de código arbitrario para engañar a un usuario visitar una página web malintencionada.

La vulnerabilidad se confirma en la JRE versión 6 Update 19. Otras versiones también pueden verse afectados.

Solución:

Actualizar a la JRE ó JKD version 6 Update 20 que soluciona esta vulnerabilidad.

No navegar por sitios Web no confiables y no seguir los enlaces que no son de confianza. Establecer el bit de eliminación para los controles de ActiveX afectados.

Cuando sucede una situación como esta para incrementar su seguridad puede desinstalar Java de su sistema operativo hasta que exista una actualización que solucione esta vulnerabilidad.

Fuente: Secunia Advisory SA39260

Anuncios