Sun Microsystems ha publicado actualizaciones para Java que solventan múltiples vulnerabilidades en el Java Runtime Environment (JRE) y Java Development Kit (JDK) que podrían permitir a un atacante remoto elevar privilegios, efectuar una denegación de servicio y potencialmente ejecutar código arbitrario. Sun ha lanzado un total de ocho boletines de seguridad en los que se dan a conocer las siguientes vulnerabilidades: * Un fallo en el procesamiento XML podría permitir acceder a ciertos recursos URL no especificados y potencialmente denegar el servicio en la máquina que este ejecutando el JRE. Afecta a JRE y JDK 6 Update 6 y anteriores. * Existe otro fallo en JRE al procesar XML que podría permitir que una aplicación o applet no confiable tuviera acceso a ciertos recursos URL, tales como archivos o páginas web.
Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores. * Un desbordamiento de la memoria intermedia en el procesamiento de fuentes del JRE podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén accesibles. Afecta a JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.
Una vulnerabilidad no especificada en el soporte de lenguajes de scripting del JRE podría permitir a un applet o aplicación sin autenticar elevar privilegios. Afecta a JRE y JDK 6 Update 6 y anteriores. * Un fallo en el agente JMX del JRE podría permitir a un agente JMX remoto ejecutar operaciones no autorizadas en un sistema con la opción de monitorización local JMX activada. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores. * Una vulnerabilidad no especificada en la máquina virtual del JRE podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén accesibles. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores / SDK y JRE 1.4.2_17 y anteriores). * Varios fallos de seguridad no especificados en el JRE podrían permitir a un applet o aplicación remota especialmente manipulada saltar restricciones de seguridad y acceder a recursos de la red con los privilegios de un applet o aplicación que hubiese sido descargada y ejecutada en una máquina local. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores. * Un desbordamiento de la memoria intermedia en Java Web Start podría permitir a una aplicación Java Web Start elevar privilegios a través de vectores no especificados. Afecta a JRE y JDK 6 Update 3 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores. * Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start crear archivos arbitrariamente con los permisos del usuario que la ejecute. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores. * Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start crear o borrar archivos arbitrariamente con los permisos del usuario que la ejecute. Afecta a JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.
Una vulnerabilidad no especificada en Java Web Start podría permitir a una aplicación Java Web Start determinar la ruta donde se encuentra la cache de Java Web Start. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores. *La última vulnerabilidad está causada por un defecto en la implementación de Secure Static Versioning que podría permitir que ciertos applets se ejecutaran en una versión antigua de JRE a pesar de tener instalada una versión más reciente. Es recomendable desinstalar de forma manual las versiones antiguas de Java, debido a que esto no se realiza de forma automática durante el proceso de instalación de una nueva versión.
0 comentarios:
Publicar un comentario