java_patch

El pasado martes 19 de Febrero por la noche, Oracle publicó la actualización prometida para la “Actualización de Emergencia” (Critical Patch Update) que la compañía lanzo hace tres semanas antes de lo programado. La actualización afecta a todos los entornos de ejecución Java desde la versión 1.4 hasta e incluyendo la actual versión 7.

Esta actualización está diseñada para cerrar tres agujeros con la más alta calificación de 10. Estas vulnerabilidades tienen los identificadores CVE siguientes: CVE-2013-1484, CVE-2013-1486 y CVE-2013-1487 , las cuales pueden ser explotadas en forma remota sin autenticación. Afectan a bibliotecas, componentes de despliegue y una vez más, JMX; el Java Management Extensions es el centro de los agujeros, descubierto por el investigador de seguridad Adam Gowdiak.

Los tres orificios, así como un cuarto, menos severo en las bibliotecas (CVE-2013-1485), están relacionados con la ejecución de Java en navegadores vía Web Start. En Alemania, por ejemplo, esta tecnología se utiliza para aplicaciones como el alemán ElsterOnline, el sistema de declaración de impuestos en línea y el servicio oficial alemán AusweisApp ID.

Oracle también ha cerrado la vulnerabilidad en la implementación de TLS/SSL que se conoce como “Lucky 13” (CVE-2013-0169). Ataques relacionados con esta vulnerabilidad, explotan el hecho de que descifrar algunos mensajes especialmente diseñados toma más tiempo que el descifrado de otros mensajes. Sin embargo, aquellos que descubrieron esta vulnerabilidad no la consideran un vector de ataque viable, y Oracle ha calificado el orificio con un nivel de amenaza de 4.3 fuera del posible máximo de 10. Es el único agujero en el último boletín que afecta el uso del servidor de Java.

Los usuarios de Java se deben Actualizar tan pronto como sea posible. Para Mac OS X, Apple ha hecho una versión actualizada de Java 6 disponible mediante la característica del software de actualización. Aquellos que usan su sucesor deberán obtener el software de Oracle directamente. La próxima actualización programada para Java se establece para el 16 de abril.

Con este parche, Oracle ha proporcionado la última actualización de seguridad pública para Java 6. Futuras actualizaciones para esta versión sólo estarán disponibles para prestar apoyo a clientes con una licencia comercial. Java 6 sigue siendo actualmente la versión de escritorio más utilizada.

Recuerde que JavaScript, es una tecnología con un nombre similar, ampliamente utilizada en la web, no es y nunca ha sido afectada por los problemas de seguridad que se han visto recientemente en Java. A pesar del nombre similar, el lenguaje no tiene nada que ver con Java, es multiplataforma y es un compilador “justo a tiempo” para los applets que se ejecutan en código común.

Nota: Todos los enlaces en este post están en idioma inglés

Traducción: Velcro

Fuente: The H Security Blog