Oracle corrige fallos en Java
Oracle ha emitido la alerta de seguridad CVE-2013-0422 para hacer frente a los fallos que estaba presentando Java integrado en navegadores web. Estas vulnerabilidades no afectan a Java en servidores, aplicaciones Java de escritorio, o Java incorporado.
Las vulnerabilidades corregidas con esta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174. Estas vulnerabilidades, que sólo afectan a Oracle Java 7 versiones, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS. Oracle recomienda que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados "in the wild", y algunos exploits están disponibles en varias herramientas de hacking.
Las condiciones exploit para esta vulnerabilidad son los mismos. Para ser explotado con éxito, un atacante debe engañar a un usuario confiado que consulta una página web maliciosa. La ejecución del applet malicioso en el navegador de los usuarios desprevenidos a continuación, permite al atacante ejecutar código arbitrario en el sistema vulnerable. Estas vulnerabilidades son aplicables sólo a Java en los navegadores web, ya que son explotables a través de applets maliciosos en tu navegador.
Con esta alerta de seguridad, y además de las correcciones para CVE-2013-0422 y CVE-2012 3174, Oracle Java está cambiando la configuración de seguridad a "alto" por defecto. La configuración de alta seguridad requiere que los usuarios autorizan expresamente la ejecución de applets que son o no firmado o se auto-firmado. Como resultado, los usuarios desprevenidos que visitan sitios Web maliciosos será notificado antes que un applet se ejecuta y se obtiene la capacidad para negar la ejecución del applet potencialmente malicioso. Tenga en cuenta también que Java SE 7 Update 10 introduce la posibilidad de que los usuarios desactivar fácilmente Java en sus navegadores a través del Panel de control de Java
Esta información está disponible en https://blogs.oracle.com/security/entry/security_alert_for_cve_2013. Se trata de un blog dedicado a discusiones sobre ‘bugs’ detectados y acciones que los usuarios de Java deben adoptar para asegurar sus sistemas.