Se ha encontrado una vulnerabilidad en Sun JRE y JDK que podría ser aprovechada por un atacante para saltarse restricciones de seguridad, permitiéndole el acceso a los recursos URL.
El problema está causado por un defecto en JRE que podría permitir que referencias a entidades externas fueran procesadas, incluso cuando la propiedad «external general entities» está puesta a falso. Esto podría ser aprovechado por un atacante remoto para acceder a recursos URL o para causar una denegación de servicio en el sistema que ejecuta JRE.
Para que la vulnerabilidad pueda ser explotada, se requiere que una aplicación confiable procese datos XML con contenido malicioso. La vulnerabilidad no puede ser explotada a través de applets no confiables o aplicaciones Java Web Start.
Se ha publicado un parche oficial. Según versión y plataforma las actualizaciones se encuentran disponibles desde:
JDK y JRE 6 Update 4 está disponible desde:
http://java.sun.com/javase/downloads/index.jsp
JDK 6 Update 4 para Solaris está disponible en los siguientes parches:
Java SE 6 update 4 (disponible en el parche 125136-05 o superior)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125136-05-1
Java SE 6 update 4 (disponible en el parche 125137-05 o superior (64bit))
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125137-05-1
Java SE 6 x86 update 4 (disponible en el parche 125138-05 o superior)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125138-05-1
Java SE 6 x86 update 4 (disponible en el parche 125139-05 o superior (64bit))
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125139-05-1
laboratorio@hispasec.com
Más información:
A Vulnerability in the Java Runtime Environment XML Parsing Code May Allow URL Resources to be Accessed
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231246-1
Deja una respuesta