Avisos 21 de February, 2013

Nova actualització crítica d'Oracle Java Febrer 2013

Oracle ha publicat noves actualitzacions crítiques per Java, corresponents al mes de febrer. Les noves versions inclouen pegats per a solucionar 5 vulnerabilitats no corregides a l'última versió de l'1 de febrer, publicada de manera urgent amb la finalitat de solucionar altres vulnerabilitats que s'estaven explotant activament.

 

Impacte
 
Execució de codi arbitrari, denegació de servei, fuita d'informació i possibilitat de salt de restriccions de seguretat.
 
Productes afectats
 
JDK, JRE 7 Update 13 i versions anteriors.
JDK, JRE 6 Update 39 i versions anteriors.
JDK, JRE 5.0 Update 39 i versions anteriors.
SDK, JRE 1.4.2_41 i versions anteriors.
 
Solució
 
Actualitzar a les noves versiones de Java. La notificació d'actualització apareixerà automàticament, si l'opció corresponent està habilitada (molt recomanable). Per activar aquesta opció, cal accedir a Tauler de Control>Java>Pestanya "Actualitzacions">Avançada, on també és possible executar la comprovació d'actualització manualment.
 
Com que els complements Java des actualitzats són una de les vies d'explotació i infecció més utilitzades, CESICAT recomana reduir el període de comprovació d'actualitzacions predeterminat (un cop al mes) a un període més curt, per exemple diàriament.
 
Com a mesures de mitigació addicionals, CESICAT recomana:
 
Desactivar completament els complements de Java per al navegador, si es necessita Java només per aplicacions externes. El fabricant proporciona instruccions per realitzar aquesta configuració en el següent enllaç:
http://www.java.com/es/download/help/disable_browser.xml
Activar la funcionalitat de "fer clic per executar" (click-to-play) disponible als navegadors més populars. Limitar l'execució automàtica del complement Java als llocs de confiança estrictament necessaris. 
   o Chrome: http://support.google.com/chrome/bin/answer.py?hl=ca&answer=142064
   o Internet Explorer, hi ha dues opcions: 
        Menú Eines-> Gestió de complements 
        A la Gestió de complements, seleccionar Mostrar: Tots els complements.
        Als complements Java Plug-in, fer doble clic
        Fer clic a "Suprimeix a tots els llocs" i "Tancar".
        Personalitzant el nivells de seguretat per la Zona Internet: 
        Menú Eines -> Opcions d'Internet, pestanya Seguretat.
        A la Zona de Internet, fer clic a Nivell Personalitzat.
        A la secció Automatització->Automatització d'applets de Java, marcar l'opció "Preguntar".
   o Mozilla Firefox 
        Instal•lant l'extensió NoScript mitjançant el gestor d'extensions (opció recomanada) 
        Menú Firefox -> Complements.
        Cercar "NoScript" al camp de cerca a dalt a la dreta.
        Fer clic a "Instal•lar".
        Activant la funcionalitat "fer clic per reproduir", mitjançant del menú "about:config". 
        Escriure "about:config" a la barra de direccions.
        Cercar l'opció "plugins.click_to_play" i fer doble clic per activar (True).
 
Detall
 
Les vulnerabilitats més greus, podrien permetre comprometre totalment l'equip amb una versió vulnerable de Java instal•lada. La majoria de les vulnerabilitats són amb possible explotació remota, mitjançant l'ús d'applets maliciosos a pàgines web. Un usuari amb producte afectat, podria ser una víctima, si té instal•lat l'afegit Java al navegador, i visita una pàgina maliciosa.
 
El llistat de vulnerabilitats corregides és el següent:
 
CVE-2013-1487
CVE-2013-1486
CVE-2013-1484
CVE-2013-1485
CVE-2013-0169
 
Referències
 
Avís de seguretat de noves actualitzacions crítiques per Oracle Java Febrer 2013
http://www.oracle.com/technetwork/topics/security/javacpufeb2013update-1905892.html
Matriu de risc amb descripcions detallades de les vulnerabilitats
http://www.oracle.com/technetwork/topics/security/javacpufeb2013updateverbose-1905895.html

 

Publicat a: Avisos