Inicio / Alerta Temprana / Avisos Seguridad / Publicadas las actualizaciones 6u15 y 5u20 de Java

Publicadas las actualizaciones 6u15 y 5u20 de Java

Fecha de publicación: 
05/08/2009
Importancia: 
3 - Media
Recursos afectados: 
  • Java 6 Update 14 y anteriores
  • Java 5 Update 19 y anteriores
Descripción: 

Publicadas la actualizaciones 6u15 y 5u20 de Java para plataformas Windows y Solaris.

Impacto: 

En caso de no actualizar el software, nuestro equipo estará expuesto a vulnerabilidades que pueden provocar que un usuario malintencionado lleve a cabo diversas acciones dependiendo de la vulnerabilidad que explote. Entre las distintas acciones se encuentran:

  • Acceder a las propiedades del sistema donde está instalado el software vulnerable mediante una applet no seguro o bien mediante una aplicación Java Web Start.
  • Determinar el nombre de usuario que está ejecutando el applet o la aplicación Java Web Start.
  • Obtener las cookies del navegador y poder secuestrar la sesión.
  • Abrir conexiones no autorizadas o conexiones a un host distinto al inicial.
  • Escalada de privilegios, por ejemplo, una aplicación puede dar derechos de lectura, escritura o ejecución a otra aplicación.
  • Construir una firma digital que sea aceptada como válida. Las aplicaciones que validen firmas digitales XML basadas en HMAC son vulnerables a este tipo de ataques.
  • Escribir ficheros en el sistema afectado desde un applet no seguro o desde una aplicación Java Web Start no segura, también puede ejecutar los ficheros que haya escrito en el sistema.
  • El control ActiveX Java Web Start puede ser aprovechado para ejecutar código en el sistema afectado solo con visualizar alguna página Web manipulada de forma maliciosa para explotar esa vulnerabilidad.
Solución: 

Actualizar a las versiones que solucionan estas vulnerabilidades. Tenemos que tener en cuenta que podemos tener instaladas varias versiones del software JRE, Sun ha publicado las actualizaciones para las versiones 5 y 6:

Detalle: 

Sun ha publicado actualizaciones de seguridad para Java, tanto para la versión 1.5.x (5u20) como para la versión 1.6.x (6u14), que resuelven las siguientes vulnerabilidades:

  • 263408. Vulnerabilidad en el sistema de audio en JRE (Java Runtime Environment).
  • 263409. Vulnerabilidades en la implementación del proxy, una de ellas afecta a los SOCKS en JRE y la otra afecta a la implementación del propio sistema.
  • 263428. Desbordamiento de entero en JRE (Java Runtime Environment) cuando analiza la imágenes JPEG.
  • 263429. Vulnerabilidad en las firmas digitales XML (Extensible Markup Language) basadas en HMAC (tipo de función usada como código para autentificar mensajes).
  • 263488. Corresponde a un desbordamiento de entero en JRE cuando desempaqueta applets y aplicaciones Java Web Start cuando utiliza la aplicación unpack200 JAR.
  • 263490. Vulnerabilidad en JNLPAppletLauncher, clase de lanzador de applets basado en JNLP de propósito general, puede afectar a usuarios de JRE, ya que se podría modificar su funcionalidad.
  • 264648. Vulnerabilidad en ATL (Active Template Library) en varias versiones de Microsoft Visual Studio que son utilizadas en el control ActiveX Java Web Start.