jeudi 14 avril 2011

Oracle último de prensa de Java 6 Update 24

Vulnerabilidades críticas de Java fueron descubiertos a principios de febrero que afectaron el Java Runtime Environment y Java Development Kit. Las versiones afectadas fueron JRE 6 Update 23 y anteriores en todos los sistemas operativos compatibles. En lugar de lanzar un parche de seguridad de inmediato, Oracle decidió lanzar una herramienta de primera línea de comandos para reparar la vulnerabilidad (ver [Java Direcciones actualización crítica de la vulnerabilidad de seguridad: http://www.astuces.net/2011/02/09/java- actualización de las direcciones críticas de seguridad-vulnerabilidad /]). Al mismo tiempo, señalaron que "la herramienta FPUpdater no está diseñado para ser utilizado en los sistemas administrados a través de actualización automática, ya que esto desactivar futuras actualizaciones automáticas", que dejó a los usuarios la opción de salir de su sistema vulnerable, o parches y se actualizaciones automáticas de última hora.

hoy Oracle lanzó el parche de actualización crítica de Java 6 Update 24 para el público. La actualización resuelve varias vulnerabilidades críticas, incluyendo la vulnerabilidad previamente descubierto que hace que se bloquea cuando el análisis de cadenas como "2.2250738585072012e-308" para números binarios de punto flotante.

El [matriz de riesgos: http://www.oracle.com/technetwork/topics/security/javacpufeb2011-304611.html # AppendixJAVA] se muestra la lista de los 21revisiones de seguridad incluidas en la actualización con información acerca de las versiones de Java afectados, el vector de acceso y si son explotables de forma remota.

De estos 21 vulnerabilidades, 13 afectan a las implementaciones de Java de cliente. 12 de estos 13 vulnerabilidades pueden ser explotadas no son de confianza a través de aplicaciones Java Web Start y Java applets no confiables, que se ejecutan en el entorno limitado de Java con privilegios limitados. Uno de estos 13 vulnerabilidades puede ser explotada mediante la ejecución de una aplicación independiente.

Además, una de las vulnerabilidad del cliente afecta Actualización de Java, un componente específico de Windows.

3 de las 21 vulnerabilidades afectan a las implementaciones de cliente y servidor. Estas vulnerabilidades pueden ser explotadas no son de confianza a través de aplicaciones Java Web Start y Java applets no confiables, así como de ser explotados por el suministro de datos malintencionados a las API de los componentes especificados, tales como, por ejemplo, a través de un servicio web.

Tres vulnerabilidades afectan a las implementaciones de Java servidor. Estas vulnerabilidades pueden ser explotadas mediante el suministro de datos malintencionados a las API en el se especifica los componentes de Java. Tenga en cuenta que una de estas vulnerabilidades (CVE-2010-4476) fue objeto de una alerta de seguridad puesto en libertad el 8 de febrero.

Finalmente, una de estas vulnerabilidades es específico de Java DB, un componente en el JDK de Java, pero noincluido en el Java Runtime Environment (JRE).

([A través de: http://blogs.oracle.com/security/2011/02/february_2011_java_se_and_java.html])

Los administradores de sistemas y usuarios que tiene Java instalado, ya sea en la forma del entorno de ejecución Java (JRE) o el Java Development Kit (JDK) debe actualizar el software [tan pronto como sea posible: http://www.java.com/en / download / manual.jsp] para proteger sus sistemas de posibles vulnerabilidades.

Los usuarios que han aplicado el parche de la línea de comando manual necesario desinstalar Java antes de poder instalar la nueva versión actualizada.

Aucun commentaire:

Enregistrer un commentaire