Oracle corrige 144 vulnerabilidades, incluyendo 36 fallos de Java, con la CPU de enero de 2014

Oracle ha lanzado su Critical Patch Update (CPU) para enero de 2014. La última CPU corrige un total de 144 vulnerabilidades, muchas de las cuales pueden ser explotadas remotamente.

oracle_logo

Productos como MySQL Enterprise Monitor and Server, Database, Fusion Middleware, Enterprise Data Quality, Forms and Reports, Portal, Outside in Technology, GlassFish Server, HTTP Server, iPlanet, Reports Developer, VM VirtualBox, Siebel, Solaris, Identity Manager, Internet Directory y E-Business Suite se ven afectados.

La CPU de enero de 2014 también parchea un total de 36 vulnerabilidades que afectan a los componentes de Java SE, como Java SE, Java SE Embedded, JavaFX y JRockit. 34 de los agujeros de seguridad puede ser explotados remotamente sin autenticación.

Un gran número de investigadores de seguridad han sido elogiados por encontrar los fallos que han sido corregidos con la CPU más reciente.

La lista incluye a Adam Willard de Foreground Security, Arseniy Akuney de TELUS Security Labs, Borked del Equipo de Seguridad de Google, Christopher Meyer de Ruhr-University Bochum, Fernando Muñoz y Joseph Sheridan de Reactionis, Matthew Daley y Oliver Gruskovnjak de Portcullis, Tanel Poder y Will Dormann de CERT/CC y Yuki Chen de Trend Micro.

Se recomienda que los usuarios apliquen los parches cuanto antes. La próxima CPU de Oracle está programada para el 15 de abril de 2014.

Fuente

Todos los usuarios deben actualizar a Java 7 por una vulnerabilidad de día cero en Java 6

Una vulnerabilidad crítica de día cero acaba de ser detectada en Java 6 (CVE-2013-2463).

java

Oracle es consciente de la brecha de seguridad, pero decidió no parchearlo porque Java 6 ya no tiene soporte para actualizaciones.

La vulnerabilidad fue descubierta primero por F-Secure Timo Hirvonen unos días después de las pruebas públicas de CVE-2013-2463.

Además, el investigador afirma que este error de día cero de Java se ha integrado en el kit de vulnerabilidades Neutrino.

Los expertos de Qualys advierten que esto garantiza una adopción generalizada.

“Todavía hay muchos usuarios que instalan Java 6 (un poco más del 50%), o sea que muchas organizaciones son vulnerables. Atribuimos esto a los bloqueos que las organizaciones experimentan cuando ejecutan aplicaciones de software que requieren el uso de Java 6”, señaló Wolfgang Kandek, el director técnico de Qualys.

Se aconseja que los internautas actualicen sus instalaciones Java a la última revisión de la versión 7, que no se ve afectada por este problema. Los usuarios que no necesiten Java en sus tareas diarias deben desinstalar el software.

El experto en seguridad de Avira Sorin Mustaca detalló en un blog reciente “el triste estado de seguridad de Java”.

Muscata cree que Oracle debería convertir el software en una herramienta de código abierto para abordar los actuales problemas de seguridad.

Otros expertos sostienen que esta podría no ser la mejor opción, considerando que ya hay versiones de código abierto de Java que no llevaron a ninguna mejora importante.

Fuente

Oracle corrige 40 vulnerabilidades de Java con la actualización crítica de junio de 2013

Oracle ha lanzado su actualización crítica Java SE para junio de 2013 para solucionar 40 vulnerabilidades, incluidas 37 que podían ser explotadas de forma remota sin autenticación.

java

Además, 4 de las 40 correcciones de seguridad son aplicables a las implementaciones de servidor de Java.

Entre los que contribuyen para hacer de Java un entorno más seguro podemos mencionar a Adam Gowdiak de Security Explorations, Ben Murphy, Hasegawa Yosuke y James Forshaw de Context Information Security, Sam Thomas de Pentest Limited, Tim Brown y Tim Varkalis de Portcullis Computer Security y Vitaliy Toropov.

Las actualizaciones afectan a JDK y JRE 7 Update 21 y anteriores, JDK y JRE 6 Update 45 y anteriores, JDK y JRE 5.0 Update 45 y anteriores y JavaFX 2.2.21 y versiones anteriores.

Según los expertos de Trend Micro, los parches se dirigen a una vulnerabilidad identificada en el generador de documentación conocido como Javadoc.

La empresa afirma que la vulnerabilidad puede explotarse para robar los datos de usuario mediante la inyección de un marco en la página de Javadoc HTML.

Hemos acudido a Security Explorations para averiguar cuáles de las vulnerabilidades registradas han sido solucionadas.

El CEO de Security Explorations Adam Gowdiak afirma que la actualización crítica de junio de 2013 soluciona “el error 61” que fue reportada a Oracle en abril.

La empresa de investigación de seguridad ha publicado el código de prueba de concepto para el “error 61” en su página web.

La próxima actualización crítica Java SE de Oracle está prevista para octubre de 2013.

Fuente

Oracle parcheará 40 vulnerabilidades con la CPU de junio de 2013

Oracle ha publicado un anuncio preliminar para su Critical Patch Update (CPU) de Junio de 2013 que está programado para ser lanzado el 18 de junio.

oracle_logo

La empresa aconseja a los usuarios aplicar los parches lo antes posible, ya que la CPU contiene correcciones para un total de 40 nuevos agujeros de seguridad.

De las 40 vulnerabilidades, 37 pueden ser explotadas de forma remota sin autenticación. Sin embargo, es incierto si cualquiera de los fallos está siendo explotado actualmente en la web.

La CPU de Junio de 2013 corrige problemas descubiertos en JDK y JRE 7 Actualización 21 y anteriores, JDK y JRE 6 Actualización 45 y anteriores, JDK y JRE 5.0 Actualización 45 y anteriores y en JavaFX 2.2.21 y versiones anteriores.

Hace unas semanas, Oracle prometió que tomaría algunas medidas para hacer a Java seguro de nuevo, pero como destacan los expertos, hay muchos usuarios que no han actualizado sus instalaciones, a pesar de que los parches han estado disponibles desde hace bastante tiempo.

Fuente

Los usuarios de Java no instalan los parches de seguridad

Uno de los principales problemas de seguridad en Java es que los usuarios no instalan las actualizaciones de seguridad. Así lo ha hecho saber un estudio de Websense Security Lab, quien destaca que el 75 por ciento de los usuarios dispone de una versión que tiene más de seis meses de antigüedad.

Más del 50 por ciento de los usuarios de Java disponen de una versión que tiene más de dos años de antigüedad. Así lo ha hecho saber Websense Security Lab, quienes creen que éste puede ser una de las causas de los problemas de seguridad que está sufriendo Java.

Además, y según los investigadores, el 75 por ciento de los usuarios dispone de una versión que tiene más de seis meses de antigüedad.

A pesar de que Oracle va a lanzar un parche crítico de seguridad el próximo 18 de junio, los investigadores creen que la gente no instalará la actualización, y más si se tiene en cuenta que el 93 por ciento de los usuarios de Java todavía tienen que instalar la actualización de seguridad crítica del pasado 16 de abril.

El pasado mes de marzo, Avast dio a conocer los resultados de un estudio similar del que se desprendía, como principal conclusión, que sólo el 4 por ciento habían actualizado la versión de Java.

“Esperas que el comportamiento del mercado de consumo sea peor que el de la empresa, pero no esperábamos que sólo lo hubiera instalado el 4 por ciento”, destacó Ondrej Vlcek, CTO de Avast.

Bob Hansmann, director de marketing de Websense Security, ha destacado que “una gran cantidad de redes corporativas tienen aplicaciones internas que dependen de ciertas versiones de Java y que han sido rotas por los parches”.

Fuente