Reproducimos íntegramente el comunicado difundido por Oracle sobre la vulnerabilidad de Java:
“Estas vulnerabilidades no afectan a Java en servidores, aplicaciones Java de escritorio, o Java incorporado. Las vulnerabilidades corregidas con esta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174. Estas vulnerabilidades, que sólo afectan a Oracle Java 7 versiones, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS. Oracle recomienda que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados “in the wild”, y algunos exploits están disponibles en varias herramientas de hacking.
Las condiciones exploit para esta vulnerabilidad son los mismos. Para ser explotado con éxito, un atacante debe engañar a un usuario confiado que consulta una página web maliciosa. La ejecución del applet malicioso en el navegador de los usuarios desprevenidos a continuación, permite al atacante ejecutar código arbitrario en el sistema vulnerable. Estas vulnerabilidades son aplicables sólo a Java en los navegadores web, ya que son explotables a través de applets maliciosos en tu navegador.
Con esta alerta de seguridad, y además de las correcciones para CVE-2013-0422 y CVE-2012 3174, Oracle Java está cambiando la configuración de seguridad a “alto” por defecto. La configuración de alta seguridad requiere que los usuarios autorizan expresamente la ejecución de applets que son o no firmado o se auto-firmado. Como resultado, los usuarios desprevenidos que visitan sitios Web maliciosos será notificado antes que un applet se ejecuta y se obtiene la capacidad para negar la ejecución del applet potencialmente malicioso. Tenga en cuenta también que Java SE 7 Update 10 introduce la posibilidad de que los usuarios desactivar fácilmente Java en sus navegadores a través del Panel de control de Java”.
Fuente: Oracle
Iustración: Blog de seguridad de Oracle
