Oracle Corporation hizo públicas nuevas versiones de Java Platform Standard Edition (Java SE) que solucionaban un total
de catorce vulnerabilidades, relacionadas con la posibilidad de ejecutar código de manera remota o de
provocar denegaciones de servicio.
Comentamos de manera resumida los
diferentes impactos descritos:
- Seis vulnerabilidades críticas
(puntuación CVSS 10.0 - 9.3) por las cuales un atacante remoto tendría la
posibilidad de ejecutar código arbitrario a través de applets o aplicaciones
Java Web Start especialmente manipuladas, que afectarían a los componentes 2D, Deployment,
Install y JavaFX: CVE-2012-0497,
CVE-2012-0498,
CVE-2012-0499,
CVE-2012-0500,
CVE-2012-0504,
CVE-2012-0508.
- Tres vulnerabilidades de nivel
importante (CVSS 7.5) capaces de generar una denegación de servicio a través de
los anteriores vectores, afectando a Concurrenct, I18n y Serialization: CVE-2012-0503,
CVE-2012-0505,
CVE-2012-0507.
- Cuatro vulnerabilidades de
nivel medio (CVSS 6.4 – 5.0) capaces también de interrumpir los servicios,
relacionadas con los componentes AWT, Sound, Lightweight HTTP Server y JRE: CVE-2012-0501,
CVE-2012-0502,
CVE-2011-5035,
CVE-2011-3563.
- Una vulnerabilidad (CVSS 4.3) que afectaría la integridad del sistema permitiendo la manipulación de los datos, relacionada con el módulo CORBA: CVE-2012-0506.
Los productos afectados con sus
versiones son los siguientes:
- JDK y JRE 7 Update 2 y anteriores
- JDK y JRE 6 Update 30 y anteriores
- JDK y JRE 5.0 Update 33 y anteriores
- SDK y JRE 1.4.2_35 y anteriores
- JavaFX 2.0.2 y anteriores
Recomendamos aplicar las
actualizaciones pertinentes en los sistemas afectados dada la gravedad crítica
de algunas de las vulnerabilidades.
Los desarrolladores pueden
descargar las versiones más recientes desde:
Y los usuarios normales pueden
descargar Java RE (Runtime Edition) para sus sistemas desde: http://java.com/
Más información:
Oracle Java SE Critical Patch
Update Advisory - February 2012
José Mesa Orihuela
No hay comentarios:
Publicar un comentario