Sun Microsystems ha publicado actualizaciones para Java que solventan múltiples vulnerabilidades en el Java Runtime Environment (JRE) y Java Development Kit (JDK) que podrían permitir a un atacante remoto elevar privilegios, efectuar una denegación de servicio y potencialmente ejecutar código arbitrario. Sun ha lanzado un total de ocho boletines de seguridad en los que se dan a conocer las siguientes vulnerabilidades:
* Un fallo en el procesamiento XML podría permitir acceder a ciertos recursos URL no especificados y potencialmente denegar el servicio en la máquina que este ejecutando el JRE. Afecta a JRE y JDK 6 Update 6 y anteriores.
* Existe otro fallo en JRE al procesar XML que podría permitir que una aplicación o applet no confiable tuviera acceso a ciertos recursos URL, tales como archivos o páginas web. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores.
* Un desbordamiento de la memoria intermedia en el procesamiento de fuentes del JRE podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén accesibles. Afecta a JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.
* Una vulnerabilidad no especificada en el soporte de lenguajes de scripting del JRE podría permitir a un applet o aplicación sin autenticar elevar privilegios. Afecta a JRE y JDK 6 Update 6 y anteriores.
* Un fallo en el agente JMX del JRE podría permitir a un agente JMX remoto ejecutar operaciones no autorizadas en un sistema con la opción de monitorización local JMX activada. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores.
* Una vulnerabilidad no especificada en la máquina virtual del JRE podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén accesibles. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores / SDK y JRE 1.4.2_17 y anteriores).
* Varios fallos de seguridad no especificados en el JRE podrían permitir a un applet o aplicación remota especialmente manipulada saltar restricciones de seguridad y acceder a recursos de la red con los privilegios de un applet o aplicación que hubiese sido descargada y ejecutada en una máquina local. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.
* Un desbordamiento de la memoria intermedia en Java Web Start podría permitir a una aplicación Java Web Start elevar privilegios a través de vectores no especificados. Afecta a JRE y JDK 6 Update 3 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.
* Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start crear archivos arbitrariamente con los permisos del usuario que la ejecute. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.
* Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start crear o borrar archivos arbitrariamente con los permisos del usuario que la ejecute. Afecta a JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.
* Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start determinar la ruta donde se encuentra la cache de Java Web Start. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.
*La última vulnerabilidad está causada por un defecto en la implementación de Secure Static Versioning que podría permitir que ciertos applets se ejecutaran en una versión antigua de JRE a pesar de tener instalada una versión más reciente.
Es recomendable desinstalar de forma manual las versiones antiguas de Java, debido a que esto no se realiza de forma automática durante el proceso de instalación de una nueva versión.
Según versión y plataforma, se recomienda instalar las siguientes versiones no vulnerables:
JDK y JRE 6 Update 7:
http://java.sun.com/javase/downloads/index.jsp
JDK y JRE 5.0 Update 16:
http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK y J2SE 1.4.2_18:
http://java.sun.com/j2se/1.4.2/download.html
SDK y J2SE 1.3.1_23:
http://java.sun.com/j2se/1.3/download.html
Opina sobre esta noticia:http://www.hispasec.com/unaaldia/3548/comentarMás información
Security Vulnerabilities in the Java Runtime Environment related to the processing of XML Data
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1A Security Vulnerability with the processing of fonts in the Java Runtime Environment may allow Elevation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1Security Vulnerabilities in the Java Runtime Environment Scripting Language Support
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1Security Vulnerability in Java Management Extensions (JMX)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1Security Vulnerability in the Java Runtime Environment Virtual Machine may allow an untrusted Application or Applet to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1Security Vulnerabilities in the Java Runtime Environment may allow Same Origin Policy to be Bypassed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1Security Vulnerability in JDK/JRE Secure Static Versioning
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1
