lunes, 14 de enero de 2013

Oracle lanza la actualización Java SE 7 Update 11 que corregiría la vulnerabilidad

Oracle ha lanzado el Alerta de seguridad CVE-2013-0422 para hacer frente a la falla en el software de Java integrado en los navegadores web. Más información acerca de esta alerta de seguridad está disponible en https://blogs.oracle.com/security Este es un blog que trata sobre cuando el error fue reportado y las acciones que los usuarios de Java debe tomar para proteger sus sistemas.

En el sitado blog, Oracle señala que éstas vulnerabilidades no afectan a Java en servidores, aplicaciones Java de escritorio, o Java incorporado. Las vulnerabilidades corregidas con ésta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174, que sólo afectan a la versiones Oracle Java 7, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS, y ha recomendado que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados "in the wild", y algunos exploits están disponibles en varias herramientas de hacking.

Microsoft anunció que la vulnerabilidad de seguridad de alto riesgo que afectaban a Java 7 e Internet Explorer 6, 7 y 8 quedarán resueltas finalmente en los próximos días. Estaría lanzando parches de emergencia, serán distribuidos a través de Windows Update. Microsoft ha advertido a los que aplicaron el primer parche que no tendrán que desinstalarlo y que la solución a la vulnerabilidad se instalará automáticamente en los ordenadores que tengan activadas las actualizaciones automáticas.

En algunos medios especializados se está señalando que la gravedad del exploit es realmente muy importante, tanto que hasta el propio Departamento de Seguridad Nacional de Estados Unidos también lanzó un aviso a los usuarios recomendando desactivar Java hasta el lanzamiento del parche. Se conoció que Apple hizo lo propio en respuesta a la amenaza, mientras que Mozilla aprovechó la ocasión para promocionar uno de los últimos añadidos en Firefox, Click to Play, que permite detener la carga de Java en páginas hasta que el usuario dé su permiso.

También se conoció la información que hace unos días la vulnerabilidad fue aprovechada con rapidez para atacar a usuarios mediate ransomware, un tipo de malware que bloquea el ordenador infectado y muestra un mensaje a los usuarios chantajeándoles para estafarles una determinada cantidad (entre 200 y 300 dólares) si quieren desbloquearlo, algo que no sucede si se realiza el pago.

Con ésta alerta de seguridad, y además de las correcciones para CVE-2013-0422 y CVE-2012 3174, Oracle Java está cambiando la configuración de seguridad a "alto" por defecto. Los arreglos de esta Alerta son un cambio en la configuración por defecto de Java de nivel de seguridad "Medio" y "Alto". Con el ajuste "Alto", el usuario siempre se le pregunta antes de firmar cualquier applet de Java o aplicaciones Java Web Start que se ejecuta.

Actualización:

Informan que "el martes Oracle va a lanzar 86 parches que cubren vulnerabilidades que afectan a diversos productos, entre ellos, 18 problemas que afectan a MySQL (dos de éstas pueden ser explotadas sin que se solicite nombre de usuario o contraseña)".

2 comentarios:

  1. ¿que hacemos jorge?

    1¿activamos java?

    2. ¿esperamos la actualización de microsoft?

    ResponderEliminar
  2. Los usuarios de Internet Explorer deberían esperar las actualizaciones de Microsoft, serán distribuidas a través de Windows Update, Hugo.
    También es recomendable, de ser posible, esperar o estar muy atentos un par de días con los resultados de los parches de Oracle.

    ResponderEliminar

Antes de colocar un comentario tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.