Se ha descubierto una vulnerabilidad en Sun JDK y JRE que podría ser aprovechada para comprometer un sistema vulnerable.
El error se produce en la forma en que Sun JDK y JRE procesan hojas de estilo XSLT contenidas en firmas XML. Un atacante, de forma remota, podría aprovechar esta vulnerabilidad engañando a una aplicación para que procesara firmas XML debidamente manipuladas.
La vulnerabilidad ha sido descubierta en las versiones JDK y JRE 6 Update 1 y anteriores. Se recomienda actualizar a las versiones JDK y JRE 6 Update 2 o posteriores, disponibles desde:
http://java.sun.com/javase/downloads/index.jsp
Java SE 6 Update 2 para Solaris está disponible a través de los siguientes parches:
Java SE 6 update 2:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125136-02-1
Java SE 6 update 2 (64bit):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125137-02-1
Java SE 6_x86 update 2:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125138-02-1
Java SE 6_x86 update 2 (64bit):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125139-02-1
laboratorio@hispasec.com
Más información:
Java Runtime Environment Does Not Securely Process XSLT Stylesheets Contained in XML Signaturas
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102993-1