Avisos 19 de June, 2013

Actualització crítica d'Oracle Java SE Juny 2013

Oracle ha publicat un nou pegat per múltiples vulnerabilitats de seguretat per Java SE, corresponents al mes de juny. L'actualització crítica inclou 40 nous pegats per productes Java SE, dels quals 4 són aplicables a servidors de desplegament en Java.

Impacte
 
Execució de codi, possibilitat de salt de restriccions de seguretat.
 
Productes afectats
 
JDK and JRE 7 Update 21 and earlier
JDK and JRE 6 Update 45 and earlier
JDK and JRE 5.0 Update 45 and earlier
JavaFX 2.2.21 and earlier
 
Solució
 
Actualitzar a les noves versiones de Java. La notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Com que els complements Java des actualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
 
Com a mesures de mitigació addicionals, CESICAT recomana:
 

 

  • Activar la funcionalitat de "fer clic per executar" (click-to-play) disponible als navegadors més populars. Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris. 
 
o Internet Explorer, hi ha dues opcions:
       Menú Eines-> Gestió de complements 
             A la Gestió de complements, seleccionar Mostrar: Tots els complements.
             Als complements Java Plug-in, fer doble clic
             Fer clic a "Suprimeix a tots els llocs" i "Tancar".
       Personalitzant el nivells de seguretat per la Zona Internet: 
             Menú Eines -> Opcions d'Internet, pestanya Seguretat.
             A la Zona de Internet, fer clic a Nivell Personalitzat.
             A la secció Automatització->Automatització d'applets de Java, marcar l'opció "Preguntar".
 
o Mozilla Firefox 
       Instal·lant l'extensió NoScript mitjançant el gestor d'extensions (opció recomanada) 
             Menú Firefox -> Complements.
             Cercar "NoScript" al camp de cerca a dalt a la dreta.
             Fer clic a "Instal·lar".
       Activant la funcionalitat "fer clic per reproduir", mitjançant del menú "about:config". 
             Escriure "about:config" a la barra de direccions.
             Cercar l'opció "plugins.click_to_play" i fer doble clic per activar (True).
 
Detall
 
Les vulnerabilitats més greus, podrien permetre comprometre totalment un equip amb una versió vulnerable de Java instal·lada. De les 40 vulnerabilitats, 37 són amb possible explotació remota, inclús sense el requeriment de nom d'usuari i contrasenya, mitjançant l'ús d'applets maliciosos a pàgines web. Un usuari amb producte afectat, podria ser una víctima, si té instal·lat l'afegit Java al navegador, i visita una pàgina maliciosa.
 
El lllistat de vulnerabilitats corregides és el següent:
 
CVE-2013-2470
CVE-2013-2471
CVE-2013-2472
CVE-2013-2473
CVE-2013-2463
CVE-2013-2464
CVE-2013-2465
CVE-2013-2469
CVE-2013-2459
CVE-2013-2468
CVE-2013-2466
CVE-2013-3743
CVE-2013-2462
CVE-2013-2460
CVE-2013-2445
CVE-2013-2448
CVE-2013-2442
CVE-2013-2461
CVE-2013-2407
CVE-2013-2454
CVE-2013-2458
CVE-2013-2444
CVE-2013-2446
CVE-2013-2437
CVE-2013-2400
CVE-2013-3744
CVE-2013-2457
CVE-2013-2453
CVE-2013-2443
CVE-2013-2452
CVE-2013-2455
CVE-2013-2447
CVE-2013-2450
CVE-2013-2456
CVE-2013-2412
CVE-2013-2449
CVE-2013-1571
CVE-2013-2451
CVE-2013-1500 
 
Referències
 
Avís de seguretat d'actualitzacions crítiques per Oracle Java SE Juny 2013
Matriu de risc amb descripcions detallades de les vulnerabilitats
Publicat a: Avisos