Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica la actualización de seguridad Java 6 Update 20

Oracle publica la actualización de seguridad Java 6 Update 20

Fecha de publicación: 
16/04/2010
Importancia: 
3 - Media
Recursos afectados: 
Versiones de Java SE anteriores a Java SE 6 update 20.
Descripción: 

Oracle ha publicado una actualización fuera de ciclo que mitiga una grave vulnerabilidad del componente de Java llamado Java Web Start.

Impacto: 

La explotación de esta vulnerabilidad podría llegar a permitir una ejecución remota de código.

Solución: 

Actualizar la versión de Java como se indica desde la página de Descarga de Java.

Según algunas fuentes, en Internet Explorer la actualización no previene en el ataque en determinados casos, por lo que se recomienda que se configure el killbit de CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA. Puede encontrar las instrucciones para hacerlo en Microsoft.

Detalle: 

Grave vulnerabilidad en Java Web Start y Java Deployment Toolkit de Internet Explorer y Firefox en todas las versiones desde Java SE 6 update 10 hasta el update 20 provocada porque no se realiza una validación apropiada de los parámetros de entrada.

Se puede comprobar si se es vulnerable visitando el siguiente enlace no malicioso que trata de ejecutar la calculadora en local explotando la vulnerabilidad:

  • http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html

Esta vulnerabilidad esta siendo explotada a través de servidores legítimos comprometidos, como http://songlyrics.com, y servidores maliciosos.