Avisos 04 de February, 2013

Actualització crítica d'Oracle Java Febrer 2013

Oracle ha publicat les seves actualitzacions crítiques quadrimestrals per Java, corresponents al mes de febrer. Les noves versions inclouen pegats per a corregir 50 vulnerabilitats, de les quals 49 poden ser explotades de manera remota sense necessitat d'autenticació.

 

Impacte
 
Execució de codi arbitrari, denegació de servei, fuita d'informació i possibilitat de salt de restriccions de seguretat.
 
Productes afectats
 
JDK, JRE 7 Update 11 i versions anteriors.
JDK, JRE 6 Update 38 i versions anteriors.
JDK, JRE 5.0 Update 38 i versions anteriors.
SDK, JRE 1.4.2_40 i versions anteriors.
JavaFX 2.2.4 i versions anteriors.
 
Solució
 
Actualitzar a les noves versiones de Java. La notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Com que els complements Java des actualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
 
Com a mesures de mitigació addicionals, CESICAT recomana:
 
Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes. El fabricant proporciona instruccions per realitzar aquesta configuració en el següent enllaç:
http://www.java.com/es/download/help/disable_browser.xml
 
Activar la funcionalitat de "fer clic per executar" (click-to-play) disponible als navegadors més populars. Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris. 
        o Chrome: http://support.google.com/chrome/bin/answer.py?hl=ca&answer=142064
        o Internet Explorer, hi ha dues opcions: 
                  Menú Eines-> Gestió de complements 
                  A la Gestió de complements, seleccionar Mostrar: Tots els complements.
                  Als complements Java Plug-in, fer doble clic
                  Fer clic a "Suprimeix a tots els llocs" i "Tancar".
                  Personalitzant el nivells de seguretat per la Zona Internet: 
                  Menú Eines -> Opcions d'Internet, pestanya Seguretat.
                  A la Zona de Internet, fer clic a Nivell Personalitzat.
                  A la secció Automatització->Automatització d'applets de Java, marcar l'opció "Preguntar".
        o Mozilla Firefox 
                  Instal•lant l'extensió NoScript mitjançant el gestor d'extensions (opció recomanada) 
                  Menú Firefox -> Complements.
                  Cercar "NoScript" al camp de cerca a dalt a la dreta.
                  Fer clic a "Instal•lar".
                  Activant la funcionalitat "fer clic per reproduir", mitjançant del menú "about:config". 
                  Escriure "about:config" a la barra de direccions.
                  Cercar l'opció "plugins.click_to_play" i fer doble clic per activar (True).
 
Detall
 
Les vulnerabilitats més greus, podrien permetre comprometre totalment un equip amb una versió vulnerable de Java instal•lada. La majoria de les vulnerabilitats són amb possible explotació remota, mitjançant l'ús d'applets maliciosos a pàgines web. Un usuari amb producte afectat, podria ser una víctima, si té instal•lat l'afegit Java al navegador, i visita una pàgina maliciosa.
 
Almenys una de les vulnerabilitats solucionades s'està explotant activament, i és per això que el fabricant ha avançat 18 dies la publicació de les actualitzacions.
 
El llistat de vulnerabilitats corregides és el següent:
CVE-2012-1541
CVE-2012-1543
CVE-2012-3213
CVE-2012-3342
CVE-2012-4301
CVE-2012-4305
CVE-2013-0351
CVE-2013-0409
CVE-2013-0419
CVE-2013-0423
CVE-2013-0424
CVE-2013-0425
CVE-2013-0426
CVE-2013-0427
CVE-2013-0428
CVE-2013-0429
CVE-2013-0430
CVE-2013-0431
CVE-2013-0432
CVE-2013-0433
CVE-2013-0434
CVE-2013-0435
CVE-2013-0436
CVE-2013-0437
CVE-2013-0438
CVE-2013-0439
CVE-2013-0440
CVE-2013-0441
CVE-2013-0442
CVE-2013-0443
CVE-2013-0444
CVE-2013-0445
CVE-2013-0446
CVE-2013-0447
CVE-2013-0448
CVE-2013-0449
CVE-2013-0450
CVE-2013-1472
CVE-2013-1473
CVE-2013-1474
CVE-2013-1475
CVE-2013-1476
CVE-2013-1477
CVE-2013-1478
CVE-2013-1479
CVE-2013-1480
CVE-2013-1481
CVE-2013-1482
CVE-2013-1483
CVE-2013-1489
 
Referències
 
Avís de seguretat d'actualitzacions crítiques per Oracle Java Febrer 2013
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html
Matriu de risc amb descripcions detallades de les vulnerabilitats
http://www.oracle.com/technetwork/topics/security/javacpufeb2013verbose-1841196.html
Publicat a: Avisos