jueves, 20 de enero de 2005

Actualización de seguridad para Java

La serie 1.4.2 de la máquina virtual Java de SUN Microsystem contiene
una vulnerabilidad que permite que un atacante ejecute código arbitrario
en la máquina víctima.

Java es un lenguaje de programación orientado a objetos,
multiplataforma, desarrollado por SUN Microsystems y de gran
popularidad. Aunque existen varias implementaciones Java, SUN dispone de
su propia máquina virtual gratuita para diferentes plataformas.

Las versiones 1.4.2 no actualizadas contienen una vulnerabilidad en su
interacción con el lenguaje javascript, utilizado en los navegadores
web, que le permite cargar clases Java sin las restricciones de
impuestas por la máquina virtual. Ello permite ejecutar código Java
libre de restricciones de seguridad.

Sun Microsystem ha publicado la versión 1.4.2_06 de su máquina virtual,
solucionando esta vulnerabilidad. Aunque dicha actualización lleva ya
disponible algunas semanas, muchas distribuciones Linux (por ejemplo,
SUSE) acaban de publicar sus actualizaciones oficiales.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Arbitrary Code Execution in Sun Java 2 Platform, Standard Edition (J2SE)
1.4.2_01 and 1.4.2_04
http://www.windowsitpro.com/article/articleid/44645/44645.html

Download Java 2 Platform, Standard Edition, v 1.4.2 (J2SE)
http://java.sun.com/j2se/1.4.2/download.html