Oracle corrige fallos en Java

Oracle ha emitido la alerta de seguridad CVE-2013-0422 para hacer frente a los fallos que estaba presentando Java integrado en navegadores web. Estas vulnerabilidades no afectan a Java en servidores, aplicaciones Java de escritorio, o Java incorporado.

Las vulnerabilidades corregidas con esta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174. Estas vulnerabilidades, que sólo afectan a Oracle Java 7 versiones, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS. Oracle recomienda que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados "in the wild", y algunos exploits están disponibles en varias herramientas de hacking.



Las condiciones exploit para esta vulnerabilidad son los mismos. Para ser explotado con éxito, un atacante debe engañar a un usuario confiado que consulta una página web maliciosa. La ejecución del applet malicioso en el navegador de los usuarios desprevenidos a continuación, permite al atacante ejecutar código arbitrario en el sistema vulnerable. Estas vulnerabilidades son aplicables sólo a Java en los navegadores web, ya que son explotables a través de applets maliciosos en tu navegador.



Con esta alerta de seguridad, y además de las correcciones para CVE-2013-0422 y CVE-2012 3174, Oracle Java está cambiando la configuración de seguridad a "alto" por defecto. La configuración de alta seguridad requiere que los usuarios autorizan expresamente la ejecución de applets que son o no firmado o se auto-firmado. Como resultado, los usuarios desprevenidos que visitan sitios Web maliciosos será notificado antes que un applet se ejecuta y se obtiene la capacidad para negar la ejecución del applet potencialmente malicioso. Tenga en cuenta también que Java SE 7 Update 10 introduce la posibilidad de que los usuarios desactivar fácilmente Java en sus navegadores a través del Panel de control de Java





Esta información está disponible en https://blogs.oracle.com/security/entry/security_alert_for_cve_2013. Se trata de un blog dedicado a discusiones sobre ‘bugs’ detectados y acciones que los usuarios de Java deben adoptar para asegurar sus sistemas.

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break