PDA

Ver la Versión Completa : Grave vulnerabilidad en Java, afecta al IE, Firefox y Opera



chuzo
25-nov-2004, 16:05
Una vulnerabilidad en Java Plug-in de Sun Microsystems, utilizado por la mayoría de los navegadores de Internet, pone en riesgo tanto a los usuarios de Internet Explorer como a quienes utilizan navegadores alternativos.

Debido a este fallo, applets maliciosos pueden escapar de los límites de la caja de arena (o sandbox), donde se ejecuta por defecto el código de Java, un mecanismo de protección que normalmente limita el acceso de un programa a los recursos del sistema. Esto pone en peligro los equipos de todos los usuarios que tengan instalado una versión Java vulnerable en su sistema.

Son vulnerables la versión 1.4.2_05 de Java Runtime Environment (JRE) y anteriores. JRE incluye la Máquina Virtual Java (JVM), para ejecutar aplicaciones hechas con Java además del Java Plug-in, componente que permite la comunicación con JavaScripts en los navegadores soportados.

Según el investigador finlandés de seguridad Jouko Pynnonen, quien descubrió el problema, el riesgo no está limitado a los usuarios del IE, sino que afecta también a Mozilla Firefox en Windows y sistemas Linux, además de los usuarios de Opera, aunque este navegador requiere de un exploit diferente para que un atacante pueda sacar provecho de esta vulnerabilidad.

Un ataque puede ser implementado por la simple visualización de una página maliciosa con cualquiera de estos navegadores, y el atacante podría llevar a cabo cualquier acción que tuviera permitida el usuario afectado, incluyendo la ejecución de código.

La única solución conocida es actualizarse a la versión 1.4.2_06, para ello es necesario descargar Java(TM) 2 Runtime Environment (JRE), Standard Edition 1.4.2_06, para la plataforma requerida (Windows, Linux, etc.).

Existen dos versiones (todas multi-lenguajes, lo que incluye al español), una es la versión para instalar sin conexión a la red (14,96 Mb), y la otra, más pequeña (1,35 Mb), sirve para instalar mientras se está conectado a Internet.

La otra solución es desinstalar Java.

Esta actualización se considera crítica.

Java Runtime Environment (JRE), Standard Edition 1.4.2_06 (http://java.sun.com/j2se/1.4.2/download.html)

Más información: Sun Java Plug-in arbitrary package access vulnerability (http://jouko.iki.fi/adv/javaplugin.html)

Fuente: Enciclopedia Virus (http://www.enciclopediavirus.com/noticias/verNoticia.php?id=499)

Un saludo :adios:

schwartz
27-nov-2004, 19:41
como lo has hecho tu?? pregunto para no meter la pata?

gracias!!

chuzo
27-nov-2004, 21:19
Pues eso depende lo que tuvieras instalado o lo que quieras instalar ...

Básicamente sólo tienes que pasarte por el enlace que hay en el otro post y eliges entre el sdk o el jre. Yo por ejemplo tenía instalado el sdk, pero si tienes instalado el jre pues es igual pero bajándote ese otro

Y sólo es eso, eliges la opción que quieras, aceptas la licencia y luego eliges la versión Linux, bajas el rpm y lo instalas normalmente

Un saludo :adios: