La corporación Oracle ha hecho públicas nuevas versiones de su producto Java SE (Java Standard Edition) en las cuales se solucionan un total de 14 vulnerabilidades, en las cuales existen exploits que tienen la posibilidad de  ejecutar código de manera remota o provocar denegaciones de servicio.

A continuación un resumen de las 14 vulnerabilidades:

  • 6  vulnerabilidades clasificadas como High(Alta):

CVE-2012-0497 (Riesgo de CVSS versión 2.0 con una puntuación de 10.0)

CVE-2012-0498 (Riesgo de CVSS versión 2.0 con una puntuación de 10.0)

CVE-2012-0499 (Riesgo de CVSS versión 2.0 con una puntuación de 10.0)

CVE-2012-0500 (Riesgo de CVSS versión 2.0 con una puntuación de 10.0)

CVE-2012-0508 (Riesgo de CVSS versión 2.0 con una puntuación de 10.0)

CVE-2012-0504 (Riesgo de CVSS versión 2.0 con una puntuación de 9.3)

En las cuales un atacante remoto tendría la posibilidad de ejecutar código arbitrario a través de los applets o aplicaciones Java Web Start especialmente manipuladas, que afectarían a los sub-componentes 2D, Deployment, Install y JavaFX.

  • 3 vulnerabilidades clasificadas como Medium-High (Medio-Alta):

CVE-2012-0503 (Riesgo de CVSS versión 2.0 con una puntuación de 7.5)

CVE-2012-0505 (Riesgo de CVSS versión 2.0 con una puntuación de 7.5)

CVE-2012-0507 (Riesgo de CVSS versión 2.0 con una puntuación de 7.5)

Las cuales son capaces de generar una denegación de servicio a través de los vectores anteriores, afectando a los sub-componentes Concurrenct, I18n y Serialization.

  • 4 vulnerabilidades clasificadas como de “Low-Medium” (Bajo-Medio):

CVE-2012-0502 (Riesgo de CVSS versión 2.0 con una puntuación de 6.4)

CVE-2011-3563 (Riesgo de CVSS versión 2.0 con una puntuación de 6.4)

CVE-2012-0501 (Riesgo de CVSS versión 2.0 con una puntuación de 5.0)

CVE-2011-5035 (Riesgo de CVSS versión 2.0 con una puntuación de 5.0)

Las cuales también son capaces de interrumpir los servicios, relacionados con los sub-componentes AWT, Sound, Lightweight HTTP Server y JRE.

  • 1 vulnerabilidad clasificada como “Low” (Baja):

CVE-2012-0506 (Riesgo de CVSS versión 2.0 con una puntuación de 4.3)

La cual afectaría la integridad del sistema permitiendo la manipulación de los datos, relacionados con el  sub-componente CORBA.

Los productos y las versiones afectadas son las siguientes:

  • JDK y JRE 7 Update 2 y anteriores
  • JDK y JRE 6 Update 30 y anteriores
  • JDK y JRE 5.0 Update 33 y anteriores
  • SDK y JRE 1.4.2_35 y anteriores
  • JavaFX 2.0.2 y anteriores

Oracle recomienda aplicar lo más rápido posible las actualizaciones correspondientes en los sistemas afectados para evitar problemas por la clasificación de “High (Alta= Crítica) de algunas de las vulnerabilidades.

Los usuarios que ejecutan Java SE desde un navegador pueden descargar la última versión desde el siguiente enlace: http://java.com/

Los usuarios de la plataforma de sistemas operativos Windows que tienen instaladas versiones de Java también pueden utilizar las actualizaciones automáticas para obtener la versión más reciente.

Los desarrolladores pueden descargar la última versión actualizada desde el siguiente enlace: http://www.oracle.com/technetwork/java/javase/downloads/index.html

CVSS= Common Vulnerability Scoring System

Traducción: Velcro

Fuente: Oracle Java SE Critical Patch Update Advisory – February 2012

Anuncios