No se gana para sustos: ahora, vulnerabilidades en Java Runtime Edition

9 Feb 2006 en Seguridad

Para ir rompiendo el hielo, digamos que hay que migrar lo más rápidamente posible a la versión más reciente de Java Runtime Environment. Los motivos pueden ser varios, pero el más preocupante es que las versiones antiguas están en riesgo debido a ciertas vulnerabilidades de alta criticidad.
El boletín de advertencia Nro. 102171 de Sun Microsystems lleva el título: “Vulnerabilidades de seguridad en JRE podrían admitir que una applet no confiable eleve sus privilegios.”
Por su parte, la infaltable Secunia informó que varios errores aún no especificados en las APIs de espejado (traducción de “reflection”) son la causa de vulnerabilidades que pueden comprometer al sistema.
El boletín de Sun no aclara cuáles son los errores y no se pudo hablar con nadie para ampliar la información.
Las primeras advertencias relacionadas con las vulnerabilidades de estas APIs datan del mes de noviembre de 2005, cuando Sun liberí su alerta Sun Alert ID: 102.003, donde se identificaban tres vulnerabilidades. Por su parte, IBM lanzó su propio Technote FAQ en diciembre del mismo año.
Los productos con riesgo de padecer estas vulnerabilidades son JRE 5.0 y JDK (Java Development Kit) actualización 5 o más tempranas versiones. La versión más actualizada de JRE es la 5.0, actualización 6, que ya tiene corregidas las siete nuevas vulnerabilidades.
Se recomienda muy especialmente que los usuarios de Java, ya sea bajo Windows, Linux o Solaris, realicen el upgrade de sus JREs visitando: http://java.sun.com/j2se/1.5.0/download.jsp