Oracle actualiza Java para corregir 2 vulnerabilidades críticas

20 Abr 2010 en Seguridad

Oracle emite una actualización de Java 6 en para solucionar dos vulnerabilidades críticas donde sistemas Windows, Linux y Solaris, quedan expuestos ante potenciales atacantes.
El mayor riesgo es para los usuarios Windows. Oracle calificó a la brecha con un 10 en su Common Vulnerability Scoring Sytem (CVSS) para Windows y con un 7.5 para Linux y Solaris. La diferencia de gravedad pasa por el hecho de que muchos usuarios Windows usan sus sistemas con privilegios de administrador completos, algo menos frecuente en Linux o Solaris.
Las vulnerabilidades aparecen específicamente en java Deployment Toolkit y en el Java Plu-in de recientes releases de Java. No afectan a Java cuando corre en un servidor o aplicación desktop standalone. Sólo lo afectan funcionando en un browser Web de 32 bits.
Un atacante puede explotar ambas vulnerabilidades para correr comandos en un sistema usando los privilegios del usuario que ha visitado un sitio Web malicioso.
Oracle se apresuró a corregir estas fallas porque han sido reportadas en listas de seguridad y su existencia es de dominio público. Un investigador en seguridad, Tavis Ormandy, advirtió que Java no realiza una adecuada validación del parámetro de URL como parte de JNLP (Java Network Launch Protocol), el cual permite que Java inicie otros protocolos y aplicaciones. El resultado es que los parámetros arbitrarios pueden ser eludidos y así crear la posibilidad de una explotación. “La simplicidad con que este error puede ser descubierto me ha llevado a publicar este documento en beneficio de todos, aunque no del proveedor de Java,” dice Ormandy.
Oracle insta a realizar la actualización a Java 6 Update 20 con premura. El update atiende a stas fallas garantizando que el archivo JNLP que no tenga un parámetro codebase, no pueda funcionar. Esto equivale a decir que los desarrolladores deben especificar el parámetro codebase en un archivo JNLP en forma obligatoria.