Oracle corrige 144 vulnerabilidades, incluyendo 36 fallos de Java, con la CPU de enero de 2014

Oracle ha lanzado su Critical Patch Update (CPU) para enero de 2014. La última CPU corrige un total de 144 vulnerabilidades, muchas de las cuales pueden ser explotadas remotamente.

oracle_logo

Productos como MySQL Enterprise Monitor and Server, Database, Fusion Middleware, Enterprise Data Quality, Forms and Reports, Portal, Outside in Technology, GlassFish Server, HTTP Server, iPlanet, Reports Developer, VM VirtualBox, Siebel, Solaris, Identity Manager, Internet Directory y E-Business Suite se ven afectados.

La CPU de enero de 2014 también parchea un total de 36 vulnerabilidades que afectan a los componentes de Java SE, como Java SE, Java SE Embedded, JavaFX y JRockit. 34 de los agujeros de seguridad puede ser explotados remotamente sin autenticación.

Un gran número de investigadores de seguridad han sido elogiados por encontrar los fallos que han sido corregidos con la CPU más reciente.

La lista incluye a Adam Willard de Foreground Security, Arseniy Akuney de TELUS Security Labs, Borked del Equipo de Seguridad de Google, Christopher Meyer de Ruhr-University Bochum, Fernando Muñoz y Joseph Sheridan de Reactionis, Matthew Daley y Oliver Gruskovnjak de Portcullis, Tanel Poder y Will Dormann de CERT/CC y Yuki Chen de Trend Micro.

Se recomienda que los usuarios apliquen los parches cuanto antes. La próxima CPU de Oracle está programada para el 15 de abril de 2014.

Fuente

Todos los usuarios deben actualizar a Java 7 por una vulnerabilidad de día cero en Java 6

Una vulnerabilidad crítica de día cero acaba de ser detectada en Java 6 (CVE-2013-2463).

java

Oracle es consciente de la brecha de seguridad, pero decidió no parchearlo porque Java 6 ya no tiene soporte para actualizaciones.

La vulnerabilidad fue descubierta primero por F-Secure Timo Hirvonen unos días después de las pruebas públicas de CVE-2013-2463.

Además, el investigador afirma que este error de día cero de Java se ha integrado en el kit de vulnerabilidades Neutrino.

Los expertos de Qualys advierten que esto garantiza una adopción generalizada.

“Todavía hay muchos usuarios que instalan Java 6 (un poco más del 50%), o sea que muchas organizaciones son vulnerables. Atribuimos esto a los bloqueos que las organizaciones experimentan cuando ejecutan aplicaciones de software que requieren el uso de Java 6”, señaló Wolfgang Kandek, el director técnico de Qualys.

Se aconseja que los internautas actualicen sus instalaciones Java a la última revisión de la versión 7, que no se ve afectada por este problema. Los usuarios que no necesiten Java en sus tareas diarias deben desinstalar el software.

El experto en seguridad de Avira Sorin Mustaca detalló en un blog reciente “el triste estado de seguridad de Java”.

Muscata cree que Oracle debería convertir el software en una herramienta de código abierto para abordar los actuales problemas de seguridad.

Otros expertos sostienen que esta podría no ser la mejor opción, considerando que ya hay versiones de código abierto de Java que no llevaron a ninguna mejora importante.

Fuente

Oracle corrige 40 vulnerabilidades de Java con la actualización crítica de junio de 2013

Oracle ha lanzado su actualización crítica Java SE para junio de 2013 para solucionar 40 vulnerabilidades, incluidas 37 que podían ser explotadas de forma remota sin autenticación.

java

Además, 4 de las 40 correcciones de seguridad son aplicables a las implementaciones de servidor de Java.

Entre los que contribuyen para hacer de Java un entorno más seguro podemos mencionar a Adam Gowdiak de Security Explorations, Ben Murphy, Hasegawa Yosuke y James Forshaw de Context Information Security, Sam Thomas de Pentest Limited, Tim Brown y Tim Varkalis de Portcullis Computer Security y Vitaliy Toropov.

Las actualizaciones afectan a JDK y JRE 7 Update 21 y anteriores, JDK y JRE 6 Update 45 y anteriores, JDK y JRE 5.0 Update 45 y anteriores y JavaFX 2.2.21 y versiones anteriores.

Según los expertos de Trend Micro, los parches se dirigen a una vulnerabilidad identificada en el generador de documentación conocido como Javadoc.

La empresa afirma que la vulnerabilidad puede explotarse para robar los datos de usuario mediante la inyección de un marco en la página de Javadoc HTML.

Hemos acudido a Security Explorations para averiguar cuáles de las vulnerabilidades registradas han sido solucionadas.

El CEO de Security Explorations Adam Gowdiak afirma que la actualización crítica de junio de 2013 soluciona “el error 61” que fue reportada a Oracle en abril.

La empresa de investigación de seguridad ha publicado el código de prueba de concepto para el “error 61” en su página web.

La próxima actualización crítica Java SE de Oracle está prevista para octubre de 2013.

Fuente

Los usuarios de Java no instalan los parches de seguridad

Uno de los principales problemas de seguridad en Java es que los usuarios no instalan las actualizaciones de seguridad. Así lo ha hecho saber un estudio de Websense Security Lab, quien destaca que el 75 por ciento de los usuarios dispone de una versión que tiene más de seis meses de antigüedad.

Más del 50 por ciento de los usuarios de Java disponen de una versión que tiene más de dos años de antigüedad. Así lo ha hecho saber Websense Security Lab, quienes creen que éste puede ser una de las causas de los problemas de seguridad que está sufriendo Java.

Además, y según los investigadores, el 75 por ciento de los usuarios dispone de una versión que tiene más de seis meses de antigüedad.

A pesar de que Oracle va a lanzar un parche crítico de seguridad el próximo 18 de junio, los investigadores creen que la gente no instalará la actualización, y más si se tiene en cuenta que el 93 por ciento de los usuarios de Java todavía tienen que instalar la actualización de seguridad crítica del pasado 16 de abril.

El pasado mes de marzo, Avast dio a conocer los resultados de un estudio similar del que se desprendía, como principal conclusión, que sólo el 4 por ciento habían actualizado la versión de Java.

“Esperas que el comportamiento del mercado de consumo sea peor que el de la empresa, pero no esperábamos que sólo lo hubiera instalado el 4 por ciento”, destacó Ondrej Vlcek, CTO de Avast.

Bob Hansmann, director de marketing de Websense Security, ha destacado que “una gran cantidad de redes corporativas tienen aplicaciones internas que dependen de ciertas versiones de Java y que han sido rotas por los parches”.

Fuente

Los investigadores identifican una vulnerabilidad de Reflection API en Java 7 Update 21

Según Adam Gowdiak, el director ejecutivo y fundador de la compañía, el fallo afecta no sólo al plugin de JRE, sino también al recién anunciado Server JRE

Ha pasado menos de una semana desde que Oracle lanzó su Critical Patch Update de abril de 2013 para Java y los investigadores ya han identificado una vulnerabilidad que afecta a la última versión del software.

La empresa polaca Security Explorations ha descubierto un problema de Redirección de API – apodado “Issue 61” – que afecta a todas las variantes de Java 7, incluyendo la Actualización 21.

“La vulnerabilidad puede ser utilizada para lograr eludir completamente el entorno de seguridad de Java en un sistema. La explotación exitosa en un escenario de navegador web requiere interacción apropiada del usuario (el usuario debe aceptar el riesgo de ejecutar una aplicación Java potencialmente maliciosa cuando se muestra una ventana de advertencia de seguridad)”, dijo el experto a Softpedia.

También cabe señalar que éste es un agujero de seguridad completamente nuevo que no se basa en ningún fallo descubierto previamente.

Un informe de vulnerabilidad y una prueba de concepto han sido enviados a Oracle. Gowdiak dice que la empresa no ha confirmado el problema, pero cree que no debería tardar más de un día en hacerlo, teniendo en cuenta que la reproducción del fallo consiste simplemente en ejecutar un código Java en un navegador web.

“En abril de 2012, hemos enviado nuestro primer informe de vulnerabilidad a Oracle señalando múltiples problemas de seguridad en Java SE 7 y en Reflection API en particular. Ha pasado un año desde entonces y para nuestra verdadera sorpresa, todavía hemos descubierto una de las más sencillas y más poderosas instancias de las vulnerabilidades basadas en Java Reflection API”, señaló Gowdiak.

“Parece que Oracle se centró principalmente en eliminar los fallos potencialmente peligrosos de Reflection API en el espacio de las clases ‘permitidas’. Si es así, no es de extrañar que Issue 61 fue pasada por alto.”

Fuente