Oracle se dispone a liberar un paquete de parches de seguridad para Java hoy martes 18 de junio, fuera de su ciclo habitual cada tres meses. El motivo, como menciona Oracle, se debe a que al menos uno de los fallos está siendo activamente explotado con éxito.
Al menos 37 de las 40 vulnerabilidades están calificadas con una puntuación de 10 en la escala CVSS. Es decir, su explotación conlleva la ejecución de código arbitrario en el equipo. Típicamente, las vulnerabilidades encontradas en Java son explotadas a través de applets incrustados en páginas webs comprometidas. La visita de estas páginas supone la explotación e infección de un equipo cuya versión de Java no esté actualizada o que no disponga de las políticas de restricción adecuadas que impidan la ejecución de applets no confiables.
Estas 40 vulnerabilidades se suman a las 97 que lleva corregidas en lo que va de año. Cabe recordar que 2012 se cerró con un total de 58. Oracle ya desveló un cambio en la política de seguridad concerniente a Java, tal y como dijo Nandini Ramani (Jefe del equipo de desarrollo de Java) el pasado 30 de mayo.
A Oracle le han llovido las críticas, en materia de seguridad, debido sobre todo a la demora en la publicación de parches, a no mantener una política de seguridad proactiva respecto a la búsqueda de fallos en su plataforma o la permisividad con la que se ejecutaban los applets. En cada actualización se seguridad Oracle ha ido restringiendo la ejecución de applets. Desde la eliminación de la opción «baja» en el nivel de seguridad hasta la prohibición de applets no firmados o autofirmados.
Las versiones afectadas son:
JDK y JRE 7 update 21 y anteriores.
JDK y JRE 6 update 45 y anteriores.
JDK y JRE 5.0 update 45 y anteriores.
JavaFX 2.2.21 y anteriores.
Foto: Archivo