Fuera de ciclo y en poco más de 15 días tras liberar una actualización múltiple de seguridad para Java, Oracle se ha visto obligada a lanzar una nueva actualización de seguridad para corregir dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario.
El 10 de abril contábamos en «una-al-día» el fallo descubierto, de manera independiente, por los investigadores Tavis Ormandy y Ruben Santamarta en la herramienta de despliegue «Java Deployment Toolkit»; además de la vulnerabilidad que permite inyectar una dll a través de Java Web Start, descubierta por Santamarta.
La respuesta de Oracle no se ha hecho esperar y la actualización 20 ya está disponible para su descarga. En total corrige las dos vulnerabilidades, con CVE-2010-0886 y CVE-2010-0887, e incluye además tres correcciones de bugs, dos de ellas, en los mismos componentes afectados.
dgarcia @ hispasec.com
