Avisos 04 de April, 2012

Actualització Java per Apple Mac OS X

Apple ha publicat una actualització de seguretat per als seus sistemes Mac OS X, que actualitza la màquina virtual de Java inclosa a la darrera versió. La nova versió corregeix 12 vulnerabilitats, algunes d'aquestes considerades com a crítiques i i que s'utilitzen activament per a infectar màquines

Recursos afectats:
Mac OS X v10.6.8
 Mac OS X Server v10.6.8
 OS X Lion v10.7.3
 Lion Server v10.7.3
 

Impacte:

Execució arbitraria de codi, denegació de servei, fuita d'informació i possibilitat de salt de restriccions de seguretat.


Solució: Aplicar l’actualització mitjançant Apple Software Update o descarregant la nova versió des de la pàgina oficial d’Apple.

Detall:

El pegat actualitza la màquina virtual de Java a l'última versió publicada per Oracle (1.6.0_31), que soluciona diverses vulnerabilitats. Totes les vulnerabilitats són amb possible explotació remota, mitjançant l'ús d'applets maliciosos a pàgines web. Un usuari amb producte afectat, podria ser una víctima, si té instal·lat l'afegit Java al navegador, i visita una pàgina maliciosa.
 
Les vulnerabilitats més greus, podrien permetre comprometre totalment un equip amb una versió vulnerable de Java instal·lada. Almenys una d'elles (CVE-2012-0507) està sent explotada activament mitjançant "exploit kits" comercials com Blackhole, i utilitzada per distribuir un troià (Flashback).
 
El llistat de vulnerabilitats corregides:
 CVE-2011-3563
 CVE-2011-5035
 CVE-2012-0497
 CVE-2012-0498
 CVE-2012-0499
 CVE-2012-0500
 CVE-2012-0501
 CVE-2012-0502
 CVE-2012-0503
 CVE-2012-0505
 CVE-2012-0506
 CVE-2012-0507
 
Referències
 Avís de seguretat d'Apple
 https://support.apple.com/kb/HT5228
 Més informació sobre el troià Flashback
 https://www.f-secure.com/weblog/archives/00002341.html
 Més informació sobre el kit d'explotació Blackhole
 https://krebsonsecurity.com/2012/03/new-java-attack-rolled-into-exploit-packs/

Publicat a: Avisos