Importancia: Crítica

Fecha de publicada: 16 de Febrero 2011

Softwares afectados

  • Java SE
  • JDK y JRE 6 Update 23 y versiones anteriores para los sistemas operativos Windows, Solaris y Linux.
  • JDK 5.0 Update 27 y versiones anteriores para el sistema operativo Solaris 9.
  • SDK 1.4.2_29 y versiones anteriores para el sistema operativo Solaris 8.
  • Java for Business
  • JDK and JRE 6 Update 23 y versiones anteriores para Windows, Solaris y Linux.
  • JDK and JRE 5.0 Update 27 y versiones anteriores para Windows, Solaris y Linux.
  • SDK and JRE 1.4.2_29 y versiones anteriores para Windows, Solaris y Linux.

Descripción

En esta actualización se solucionan 21 vulnerabilidades, de ellas 8 muy graves, que afectan a aplicaciones de cliente y servidor.

Vulnerabilidades en detalle

De las 21 vulnerabilidades que se solucionan, 8 de ellas alcanzan la puntuación de peligrosidad máxima (10.0 en el CVSS Base Score).

13 de estas vulnerabilidades afectan a desarrollos Java cliente:

12 de estas 13 vulnerabilidades pueden ser explotadas a través de aplicaciones Java Web Start y Java Applets no confiables que se ejecuten en la sandbox Java con privilegios limitados. Una de estas 13 vulnerabilidades puede ser explotada ejecutando una aplicación autónoma.

Además, una de estas vulnerabilidades afecta a Java Update, un componente específico de Windows.

3 de las 21 vulnerabilidades afectan a aplicaciones cliente y servidor, y pueden ser explotadas a través de Java Web Start y Java Applets no confiables y suministrando datos maliciosos a las APIs de componentes específicos, un ejemplo de ello: es a través de un servicio web.

3 vulnerabilidades afectan a despliegues en servidores únicamente. Pueden ser explotadas suministrando datos maliciosos a las APIs de componentes Java específicos. Para una de estas vulnerabilidades (CVE-2010-4476) Oracle suministró un parche urgente el pasado día 8 de Febrero.

Y terminando, una de estas vulnerabilidades es específica de Java DB, un componente de Java JDK, pero que no se incluye en Java Runtime Environment (JRE).

Solución

Se recomienda instalar el parche que ha publicado el fabricante lo más inmediato posible para evitar ser afectado.

Los usuarios de Java pueden utilizar la actualización automática para instalar la última versión disponible de Java Runtime Environment (JRE) la versión 6 update 24 que incluye esta actualización.

Efectos:

La explotación de estas vulnerabilidades podría llegar a provocar, a una denegación de servicio (una caída de la aplicación Java de escritorio ó del servidor web) ó permitir la ejecución de código malicioso.

Enlace de descarga de Java Runtime Environment (JRE) para los SO Windows

Fuente: Inteco CERT

Anuncios