¿Tienes Java 6 instalado? (Actualiza!)

agosto 29, 2013 § Deja un comentario

Oracle dio por finalizado el soporte público para Java versión 6 el pasado febrero. Las versiones públicas de Java poseen un soporte de tres años. Pasado ese tiempo solo los clientes que tengan una licencia comercial del producto podrán tener acceso a los parches críticos, periodo que se extiende cinco años adicionales.

¿Cual es el problema? Java 6 aun se encuentra instalado en millones de sistemas, no tiene soporte y existe una vulnerabilidad con exploit publicado que se está usando activamente para infectar equipos.

En concreto se trata de la vulnerabilidad etiquetada con el CVE-2013-2463. Un error en el índice de un array al invocar la función nativa ‘storeImageArray’. Dicha función pertenece a la capa nativa del paquete AWT (Abstract Widget Toolkit) encargado entre otras cosas del tratamiento de imágenes, un paquete disponible desde la versión 1.0 de Java.

Esto no es nada nuevo ni es noticia, ya que dicha vulnerabilidad se conoce desde hace meses y está parcheada para Java 7 revisión 25. El exploit sí que se publicó hace relativamente poco, a principios de agosto.

La noticia es que está siendo activamente explotado(2) por varios kits de exploits y no hay ni va a ver parche para Java 6. Al menos para la gran mayoría de usuarios. Esto significa que mantener una versión de Java 7 sin actualizar o tener Java 6 en el sistema y visitar una página infectada significa el compromiso del sistema.

Quizás el verdadero problema se encuentre en aquellas empresas que dependen de la versión 6 de Java para funcionar y aun no hayan realizado la migración (o no puedan permitírselo) a la versión 7. En este caso se deberían extremar las medidas de seguridad oportunas para evitar incidentes y recordar el riesgo que supone mantener activo un producto sin soporte.

Contenido completo en fuente original Hispasec

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo ¿Tienes Java 6 instalado? (Actualiza!) en Seguridad Informática.

Meta

A %d blogueros les gusta esto: