|
Múltiples vulnerabilidades en JRE (Java Runtime Environment) de Sun |
|
|
|
|
Origen: hispasec.com
|
|
jueves, 04 de octubre de 2007 |
Sun han publicado actualizaciones para JDK, JRE y SDK debido a que se
han encontrado numerosos problemas de seguridad no especificados que
afectan a diferentes versiones. Estas herramientas también se engloban
dentro del producto Java 2 Platform, Standard Edition
JDK (Java Development Kit) y SDK (Software Development Kit) son
productos destinados a los desarrolladores de programas Java. JRE (Java
Runtime Environment) es un entorno que permite a las aplicaciones Java
ejecutarse en el sistema e interpretar gran cantidad de contenido web.
JRE es además un producto presente en la mayoría de clientes, que lo
usan como plugin del navegador, de ahí la importancia de mantener
actualizado el sistema. Se han dado bastantes casos de malware que ha
intentado aprovechar vulnerabilidades en JRE para ejecutar código
arbitrario en el sistema. Sin embargo, el hecho de que existan varias
ramas en desarrollo (1.4.x, 5.x, 6.x...) con saltos de versiones y
cambios en la nomenclatura, unido al hecho de que pueden convivir varias
ramas en un mismo sistema de forma que necesiten actualización por
separado, hacen que el mantenimiento de esta máquina virtual resulte
confuso para muchos usuarios.
Las vulnerabilidades, de los que no se han dado detalles técnicos, son:
* Cuando los applets o aplicaciones no confiables muestran una ventana,
Java Runtime Environment muestra además un mensaje de advertencia. Un
defecto en JRE permitiría que un applet o aplicación especialmente
manipulada mostrara una ventana con un tamaño mayor que ocultaría la
advertencia al usuario.
* Una aplicación Java Web Start o un applet especialmente manipulado
permitiría mover o copiar ficheros arbitrarios en el sistema en el que
se ejecuten. Para que la vulnerabilidad pueda ser aprovechada, el
usuario de la aplicación o applet debe arrastrarlo y soltarlo a otra
aplicación que tenga permisos de acceso a los archivos objetivo.
* Un fallo en el tratamiento de applets permitiría realizar conexiones
de red a otros servicios o máquinas que no fueran desde donde se
descargó el applet. Esto podría ser aprovechado por un atacante para
obtener acceso a ciertas vulnerabilidades o recursos de red que
normalmente no serían accesibles.
* Se han encontrado varias vulnerabilidades en la interpretación de
Javascript de JRE que podrían causar un salto de restricciones de red y
podrían ser aprovechadas por un atacante para obtener acceso a ciertas
vulnerabilidades o recursos de red que normalmente no serían accesibles.
* Se ha encontrado una vulnerabilidad en Java Runtime Environment (JRE)
que permitiría que código Javascript hiciera conexiones de red vía Java
APIs a otros servicios o máquinas que no fueran desde donde se descargó
el código Javascript.
* Se ha encontrado otra vulnerabilidad en Java Runtime Environment (JRE)
que permitiría a un applet, descargado a través de un proxy, realizar
conexiones de red a otros servicios o máquinas que no fueran desde donde
se descargó el applet.
Estas dos últimas vulnerabilidades no afectan a Internet Explorer.
* Múltiples vulnerabilidades en Java Web Start podrían permitir a una
aplicación maliciosa leer archivos locales accesibles desde la
aplicación, determinar la localización de la caché de Java Web Start o
leer y escribir archivos locales accesibles desde la aplicación.
Los problemas han sido solucionados en las siguientes versiones para
Windows, Solaris, y Linux:
JDK y JRE 6 Update 3 o posterior.
JDK y JRE 5.0 Update 13 o posterior.
SDK y JRE 1.4.2_16 o posterior.
Para Solaris 8 y Windows:
SDK y JRE 1.3.1_21 o posterior.
Disponibles desde:
Este link.
Este link.
JDK 6 Update 3 para Solaris está disponible desde:
* Java SE 6 update 3 (que viene con el parche 125136-04 o posterior)
* Java SE 6 update 3 (que viene con el parche 125137-04 o posterior
(64bit))
* Java SE 6_x86 update 3 (que viene con el parche 125138-04 o posterior)
* Java SE 6_x86 update 3 (que viene con el parche 125139-04 o posterior
(64bit))
JDK y JRE 5.0 Update 13 están disponibles desde:
Este link.
JDK 5.0 Update 13 para Solaris está disponible desde:
* J2SE 5.0 update 13 (que viene con el parche 118666-14)
* J2SE 5.0 update 13 (que viene con el parche 118667-14 (64bit))
* J2SE 5.0_x86 update 13 (que viene con el parche 118668-14)
* J2SE 5.0_x86 update 13 (que viene con el parche 118669-14 (64bit))
SDK y JRE 1.4.2 están disponibles desde:
Este link.
SDK y JRE 1.3.1 para Solaris 8 están disponibles desde:
Este link.
|
