Inicio / Alerta Temprana / Avisos Seguridad / Oracle publica una actualización para Java SE que soluciona la vulnerabilidad CVE-2010-4476

Oracle publica una actualización para Java SE que soluciona la vulnerabilidad CVE-2010-4476

Fecha de publicación: 
10/02/2011
Importancia: 
4 - Alta
Recursos afectados: 
  • Java SE
    • JDK y JRE 6 Update 23 y versiones anteriores para Windows, Solaris y Linux.
    • JDK 5.0 Update 27 y versiones anteriores para Solaris 9.
    • SDK 1.4.2_29 y versiones anteriores para 8.
  • Java for Business
    • JDK and JRE 6 Update 23 y versiones anteriores para Windows, Solaris y Linux.
    • JDK and JRE 5.0 Update 27 y versiones anteriores para Windows, Solaris y Linux.
    • SDK and JRE 1.4.2_29 y versiones anteriores para Windows, Solaris y Linux.
Descripción: 
La vulnerabilidad afecta a Java SE y Java for Business products y puede ser aprovechada de forma remota y sin autenticación, para provocar una denegación de servicio.
Solución: 

Se recomienda instalar el parche que ha publicado el fabricante. Se puede descargar y encontrar información para su instalación en Oracle Security Alert for CVE-2010-4476 - Patch Availability Table.

También es posible esperar a la actualización programada del próximo 15 de Febrero. Esta opción no se recomienda para aplicaciones o servidores web accesibles remotamente.

Detalle: 

Soluciona la vulnerabilidad CVE-2010-4476, una vulnerabilidad en la JRE de Oracle Java SE y Java for Business products, que puede provocar una denegación de servicio (caída o cuelgue de la JRE) al convertir "2.2250738585072012e-308" a un número de coma flotante binario. Esta vulnerabilidad puede ser utilizada por atacantes remotos sin autenticar.

La vulnerabilidad afecta principalmente a aplicaciones Java y servidores web.

Impacto:

La explotación de esta vulnerabilidad podría llegar a provocar una denegación de servicio (caída de la aplicación) de una aplicación Java de escritorio o servidor web.