17 de junio de 2013

ORACLE PUBLICARÁ ACTUALIZACIÓN FUERA DE CICLO DE ‘Java ‘

Oracle publicará el próximo 18 de junio un conjunto de parches de seguridad para Java, fuera de su ciclo habitual cada tres meses. El motivo, según Oracle, hay que buscarle en que por lo menos uno de las fallos está siendo explotado con éxito.
Al menos 37 de las 40 vulnerabilidades están calificadas con una puntuación de 10 en la escala CVSS. Es decir, su explotación lleva implicita la ejecución de código arbitrario en el equipo.
Cambio en la política de actualizaciones de ORACLE respecto de JAVA
  • Estas 40 vulnerabilidades se suman a las 97 que lleva corregidas en lo que va de año.
  • Cabe recordar que 2012 se cerró con un total de 58. Oracle ya desveló un cambio en la política de seguridad concerniente a Java, tal y como dijo Nandini Ramani (Jefe del equipo de desarrollo de Java) el pasado 30 de mayo.
  • A Oracle le han llovido las críticas, en materia de seguridad, debido sobre todo a la demora en la publicación de parches, a no mantener una política de seguridad proactiva respecto a la búsqueda de fallos en su plataforma o la permisividad con la que se ejecutaban los applets.
  • En cada actualización se seguridad Oracle ha ido restringiendo la ejecución de applets. Desde la eliminación de la opción "baja" en el nivel de seguridad hasta la prohibición de applets no firmados o autofirmados.
Las versiones afectadas son:
  1. JDK y JRE 7 update 21 y anteriores.
  2. JDK y JRE 6 update 45 y anteriores.
  3. JDK y JRE 5.0 update 45 y anteriores.
  4. JavaFX 2.2.21 y anteriores.
Más información:
Fuente: Hispasec