Oracle lanza un paquete de actualizaciones para Java, fuera de ciclo.

---

Oracle se dispone a liberar un paquete de parches de seguridad para Java

el próximo 18 de junio, fuera de su ciclo habitual cada tres meses. El

motivo, como menciona Oracle, se debe a que al menos uno de los fallos

está siendo activamente explotado con éxito.



Al menos 37 de las 40 vulnerabilidades están calificadas con una

puntuación de 10 en la escala CVSS. Es decir, su explotación conlleva

la ejecución de código arbitrario en el equipo. Típicamente, las

vulnerabilidades encontradas en Java son explotadas a través de applets

incrustados en páginas webs comprometidas. La visita de estas páginas

supone la explotación e infección de un equipo cuya versión de Java no

esté actualizada o que no disponga de las políticas de restricción

adecuadas que impidan la ejecución de applets no confiables.



Estas 40 vulnerabilidades se suman a las 97 que lleva corregidas en

lo que va de año. Cabe recordar que 2012 se cerró con un total de 58.

Oracle ya desveló un cambio en la política de seguridad concerniente a

Java, tal y como dijo Nandini Ramani (Jefe del equipo de desarrollo de

Java) el pasado 30 de mayo.



A Oracle le han llovido las críticas, en materia de seguridad, debido

sobre todo a la demora en la publicación de parches, a no mantener una

política de seguridad proactiva respecto a la búsqueda de fallos en su

plataforma o la permisividad con la que se ejecutaban los applets. En

cada actualización se seguridad Oracle ha ido restringiendo la ejecución

de applets. Desde la eliminación de la opción "baja" en el nivel de

seguridad hasta la prohibición de applets no firmados o autofirmados.



Las versiones afectadas son:



JDK y JRE 7 update 21 y anteriores.

JDK y JRE 6 update 45 y anteriores.

JDK y JRE 5.0 update 45 y anteriores.

JavaFX 2.2.21 y anteriores.



http://unaaldia.hispasec.com/2013/06/actualizacion-fuera-de-ciclo-para-java.html