Avisos 17 de April, 2013

Actualització crítica d'Oracle Java SE Abril 2013

Oracle ha publicat les seves actualitzacions crítiques quadrimestrals per Java SE, corresponents al mes d'abril. Les noves versions inclouen pegats per a corregir 42 vulnerabilitats, de les quals 2 són aplicables a servidors de desplegaments en Java, i 39 d'aquestes vulnerabilitats poden ser explotades remotament sense autenticació.

 

Impacte
 
Execució de codi arbitrari, denegació de servei, fuita d'informació i possibilitat de salt de restriccions de seguretat.
 
Productes afectats
 
JDK, JRE 7 Update 17 i versions anteriors.
JDK, JRE 6 Update 43 i versions anteriors.
JDK, JRE 5.0 Update 41 i versions anteriors.
JavaFX 2.2.7 i versions anteriors.
 
Solució
 
Actualitzar a les noves versiones de Java. La notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Com que els complements Java des actualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
 
Com a mesures de mitigació addicionals, CESICAT recomana:
 
Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes. El fabricant proporciona instruccions per realitzar aquesta configuració en el següent enllaç:
Activar la funcionalitat de "fer clic per executar" (click-to-play) disponible als navegadors més populars. Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris. 
   o Internet Explorer, hi ha dues opcions: 
         Menú Eines-> Gestió de complements 
         A la Gestió de complements, seleccionar Mostrar: Tots els complements.
         Als complements Java Plug-in, fer doble clic
         Fer clic a "Suprimeix a tots els llocs" i "Tancar".
         Personalitzant el nivells de seguretat per la Zona Internet: 
         Menú Eines -> Opcions d'Internet, pestanya Seguretat.
         A la Zona de Internet, fer clic a Nivell Personalitzat.
         A la secció Automatització->Automatització d'applets de Java, marcar l'opció "Preguntar".
   o Mozilla Firefox 
         Instal·lant l'extensió NoScript mitjançant el gestor d'extensions (opció recomanada) 
         Menú Firefox -> Complements.
         Cercar "NoScript" al camp de cerca a dalt a la dreta.
         Fer clic a "Instal·lar".
         Activant la funcionalitat "fer clic per reproduir", mitjançant del menú "about:config". 
         Escriure "about:config" a la barra de direccions.
         Cercar l'opció "plugins.click_to_play" i fer doble clic per activar (True).
 
Detall
 
Les vulnerabilitats més greus, podrien permetre comprometre totalment un equip amb una versió vulnerable de Java instal•lada. La majoria de les vulnerabilitats són amb possible explotació remota, mitjançant l'ús d'applets maliciosos a pàgines web. Un usuari amb producte afectat, podria ser una víctima, si té instal·lat l'afegit Java al navegador, i visita una pàgina maliciosa.
 
El lllistat de vulnerabilitats corregides és el següent:
CVE-2013-2383
CVE-2013-2384
CVE-2013-1569
CVE-2013-2434
CVE-2013-2432
CVE-2013-2420
CVE-2013-1491
CVE-2013-1558
CVE-2013-2440
CVE-2013-2435
CVE-2013-2431
CVE-2013-2425
CVE-2013-1518
CVE-2013-2414
CVE-2013-2428
CVE-2013-2427
CVE-2013-2422
CVE-2013-1537
CVE-2013-1557
CVE-2013-2421
CVE-2013-0402
CVE-2013-2426
CVE-2013-2436
CVE-2013-1488
CVE-2013-2394
CVE-2013-2430
CVE-2013-2429
CVE-2013-1563
CVE-2013-2439
CVE-2013-0401
CVE-2013-2419
CVE-2013-2424
CVE-2013-1561
CVE-2013-1564
CVE-2013-2438
CVE-2013-2417
CVE-2013-2418
CVE-2013-2416
CVE-2013-2433
CVE-2013-1540
CVE-2013-2423
CVE-2013-2415
 
Referències
 
Avís de seguretat d'actualitzacions crítiques per Oracle Java SE Abril 2013
Matriu de risc amb descripcions detallades de les vulnerabilitats
Publicat a: Avisos