- Otras noticias
Parche para ColdFusion MX y JRun 4.0 por denegación de servicio
Este mes no habrá parche de seguridad de Microsoft
Especialistas sitúan al virus informático 'Bagle.B' como el tercero más virulento de la Historia
Vulnerabilidad de ejecución de código en Winzip
Encuentran múltiples vulnerabilidades Zero day en IE y Firefox
Vulnerabilidad en Wordpress 
ISS advierte de una nueva vulnerabilidad en Windows
El riesgo en las comunicaciones de mensajería instantánea
El efecto zombie de MyDoom
El virus IRC/Zapchast.U. permite acceso remoto vía IRC
- En el foro
-
vulnerabilidades
Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun
05 Oct 2007 | HISPASEC.COM
JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.
JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x...) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.
Las vulnerabilidades, de los que no se han dado detalles técnicos, son:
* Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.
* Una aplicación Java Web Start o un applet especialmente manipulado permitiría mover o copiar ficheros arbitrarios en el sistema en el que se ejecuten. Para que la vulnerabilidad pueda ser aprovechada, el usuario de la aplicación o applet debe arrastrarlo y soltarlo a otra aplicación que tenga permisos de acceso a los archivos objetivo.
* Un fallo en el tratamiento de applets permitiría realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet. Esto podría ser aprovechado por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.
* Se han encontrado varias vulnerabilidades en la interpretación de Javascript de JRE que podrían causar un salto de restricciones de red y podrían ser aprovechadas por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.
* Se ha encontrado una vulnerabilidad en Java Runtime Environment (JRE) que permitiría que código Javascript hiciera conexiones de red vía Java APIs a otros servicios o máquinas que no fueran desde donde se descargó el código Javascript.
* Se ha encontrado otra vulnerabilidad en Java Runtime Environment (JRE) que permitiría a un applet, descargado a través de un proxy, realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet.
Estas dos últimas vulnerabilidades no afectan a Internet Explorer.
* Múltiples vulnerabilidades en Java Web Start podrían permitir a una aplicación maliciosa leer archivos locales accesibles desde la aplicación, determinar la localización de la caché de Java Web Start o leer y escribir archivos locales accesibles desde la aplicación.
Los problemas han sido solucionados en las siguientes versiones para
Windows, Solaris, y Linux:JDK y JRE 6 Update 3 o posterior.
JDK y JRE 5.0 Update 13 o posterior.
SDK y JRE 1.4.2_16 o posterior.Para Solaris 8 y Windows:
SDK y JRE 1.3.1_21 o posterior.Disponibles desde:
java.sun.com/javase/downloads/index.jsp
java.comJDK 6 Update 3 para Solaris está disponible desde:
* Java SE 6 update 3 (que viene con el parche 125136-04 o posterior)
* Java SE 6 update 3 (que viene con el parche 125137-04 o posterior
(64bit))
* Java SE 6_x86 update 3 (que viene con el parche 125138-04 o posterior)
* Java SE 6_x86 update 3 (que viene con el parche 125139-04 o posterior
(64bit))JDK y JRE 5.0 Update 13 están disponibles desde:
java.sun.com/javase/downloads/index_jdk5.jspJDK 5.0 Update 13 para Solaris está disponible desde:
* J2SE 5.0 update 13 (que viene con el parche 118666-14)
* J2SE 5.0 update 13 (que viene con el parche 118667-14 (64bit))
* J2SE 5.0_x86 update 13 (que viene con el parche 118668-14)
* J2SE 5.0_x86 update 13 (que viene con el parche 118669-14 (64bit))SDK y JRE 1.4.2 están disponibles desde:
SDK y JRE 1.3.1 para Solaris 8 están disponibles desde:
java.sun.com/j2se/1.4.2/download.html
java.sun.com/j2se/1.3/download.html
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
