Avisos 13 de June, 2012

Actualització crítica d'Oracle Java SE Juny 2012

Oracle ha publicat les seves actualitzacions crítiques quadrimestrals per Java SE, corresponents al mes de juny. Les noves versions inclouen pegats per a corregir 14 vulnerabilitats, de les quals 12 poden ser explotades de manera remota sense necessitat d'autenticació. Apple ha publicat simultàniament l'actualització per al seu sistema operatiu Mac OS X, que instal·la les noves versions de la màquina virtual Java inclosa als seus sistemes.

Recursos afectats:
JDK, JRE 7 Update 4 i versions anteriors.
 JDK, JRE 6 Update 32 i versions anteriors.
 JDK, JRE 5.0 Update 35 i versions anteriors.
 SDK, JRE 1.4.2_37 i versions anteriors.
 JavaFX 2.1 i versions anteriors.
 Java per Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.4, OS X Lion Server v10.7.4
 

Impacte: Execució de codi arbitrari, denegació de servei, fuita d'informació i possibilitat de salt de restriccions de seguretat.

Solució:

Actualitzar a les noves versiones de Java SE.
 
Per Oracle Java SE, la notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Per Apple Mac OS X, aplicar l’actualització mitjançant Apple Software Update, o descarregant la nova versió des de la pàgina oficial d’Apple.
 
Com que els complements Java des actualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.


Detall:

Les vulnerabilitats més greus, podrien permetre comprometre totalment un equip amb una versió vulnerable de Java instal·lada. La majoria de les vulnerabilitats són amb possible explotació remota, mitjançant l'ús d'applets maliciosos a pàgines web. Un usuari amb producte afectat, podria ser una víctima, si té instal·lat l'afegit Java al navegador, i visita una pàgina maliciosa.
 
El lllistat de vulnerabilitats corregides és el següent:
 CVE-2012-0551
 CVE-2012-1711
 CVE-2012-1713
 CVE-2012-1716
 CVE-2012-1717
 CVE-2012-1718
 CVE-2012-1719
 CVE-2012-1720
 CVE-2012-1721
 CVE-2012-1722
 CVE-2012-1723
 CVE-2012-1724
 CVE-2012-1725
 CVE-2012-1726
 
Referències
 Avís de seguretat d'actualitzacions crítiques per Oracle Java SE Juny 2012
 http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
 Matriu de risc amb descripcions detallades de les vulnerabilitats
 http://www.oracle.com/technetwork/topics/security/javacpujun2012verbose-1515971.html
 Avís de seguretat d'Apple per l'actualització de Java a Mac OS X
 https://support.apple.com/kb/HT5319

Publicat a: Avisos
Tags: Java, Oracle