Oracle Corporation hizo públicas nuevas versiones de Java Platform Standard Edition (Java SE) que solucionaban un total de catorce vulnerabilidades, relacionadas con la posibilidad de ejecutar código de manera remota o de provocar denegaciones de servicio.
Comentamos de manera resumida los diferentes impactos descritos:
- Seis vulnerabilidades críticas (puntuación CVSS 10.0 – 9.3) por las cuales un atacante remoto tendría la posibilidad de ejecutar código arbitrario a través de applets o aplicacionesJava Web Start especialmente manipuladas, que afectarían a los componentes 2D, Deployment, Install y JavaFX: CVE-2012-0497, CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0504, CVE-2012-0508.
- Tres vulnerabilidades de nivel importante (CVSS 7.5) capaces de generar una denegación de servicio a través de los anteriores vectores, afectando a Concurrenct, I18n y Serialization: CVE-2012-0503, CVE-2012-0505, CVE-2012-0507.
- Cuatro vulnerabilidades de nivel medio (CVSS 6.4 – 5.0) capaces también de interrumpir los servicios, relacionadas con los componentes AWT, Sound, Lightweight HTTP Server y JRE: CVE-2012-0501, CVE-2012-0502, CVE-2011-5035, CVE-2011-3563.
- Una vulnerabilidad (CVSS 4.3) que afectaría la integridad del sistema permitiendo la manipulación de los datos, relacionada con el módulo CORBA: CVE-2012-0506.
Los productos afectados con sus versiones son los siguientes:
- JDK y JRE 7 Update 2 y anteriores
- JDK y JRE 6 Update 30 y anteriores
- JDK y JRE 5.0 Update 33 y anteriores
- SDK y JRE 1.4.2_35 y anteriores
- JavaFX 2.0.2 y anteriores
Recomendamos aplicar las actualizaciones pertinentes en los sistemas afectados dada la gravedad crítica de algunas de las vulnerabilidades.
Los desarrolladores pueden descargar las versiones más recientes desde:
Y los usuarios normales pueden descargar Java RE (Runtime Edition) para sus sistemas desde: http://java.com/
Más información:
Oracle Java SE Critical Patch Update Advisory – February 2012
José Mesa Orihuela
