UNAM-CERT

1. Sistemas Afectados

   • JDK y JRE 6 actualización 4 y anteriores
   • JDR y JRE 5.0 actualización 14 y anteriores
   • SDK y JRE 1.4.2_16 y anteriores
   • SDK y JRE 1.3.1_21 y anteriores

2. Descripción

   El Sun Java Runtime Environment (JRE) permite que los usuarios ejecuten aplicaciones de Java en Navegadores Web o como programas standalone. Sun ha liberado actualizaciones para el JRE para corregir varias vulnerabilidades. Para más detalles acerca de estas vulnerabilidades, se pude consultar la Base de Datos de Notas de Vulnerabilidades del US-CERT.

   Sun ha publicado las siguientes alertas para abordar dichas vulnerabilidades

   • 233321 Dos Vulnerabilidades de seguridad en Java Runtime Environment Virtual Machine
   • 233322 Vulnerabilidad de seguridad en Java Runtime Environment al procesar transformaciones XSLT
   • 233323 Vulnerabilidades de seguridad en Java Web Start May permiten elevar privilegios a una aplicación no confiable
   • 233324 Una vulnerabilidad de seguridad en el Plug-in de Java podría permitir la elevación de privilegios a un applet no confiable
   • 233325 Vulnerabilidades en Java Runtime Environment image Parsing Library
   • 233326 Vulnerabilidad de seguridad en Java Runtime Environment podría permitir la elevación de privilegios con código de JavaScript no confiable a través de APIs de Java
   • 233327 Vulnerabilidad de Buffer Overflow en Java Web Start podría permitir a una aplicación no confiable elevar sus privilegios

3. Impacto

   Los impactos de estas vulnerabilidades son variables. La más severa de estas vulnerabilidades podría permitir a un intruso ejecutar código arbitrario de forma remota.

4. Solución

   Instalar la actualización de Sun

   Estos problemas se presentan en las siguientes versiones de Sun Java Runtime:

   • JDK y JRE 6 actualización 5 o posterior
   • JDR y JRE 5.0 actualización 15 o posterior
   • SDK y JRE 1.4.2_17 o posterior
   • SDK y JRE 1.3.1_21 y posteriores

   Si se instala la última versión de Java, las versiones anteriores de Java pueden permanecer instaladas en el equipo. Si estas versiones de java no se requieren, se recomienda desinstalarlas. Las instrucciones para desinstalar las versiones anteriores de java, se encuentrán disponibles en el sitio Web de Sun .

   Deshabilitar Java

   Deshabilitar Java en el navegador Web tal y como se describe en el documento titulado “Securing Your Web Browser” . Si bien esta medida no repara la vulnerabilidad, bloquea el ataque disminuyendo el riesgo.

5. Referencias

   • US-CERT Vulnerability Notes for Sun Alerts - http://www.kb.cert.org/vuls/byid?searchview&query=SUNJAVA_020608
   • Securing Your Web Browser - http://www.us-cert.gov/reading_room/securing_browser/
   • Sun Alert 233321 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233321-1
   • Sun Alert 233322 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233322-1
   • Sun Alert 233323 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233323-1
   • Sun Alert 233324 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233324-1
   • Sun Alert 233325 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233325-1
   • Sun Alert 233326 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233326-1
   • Sun Alert 233327 - http://sunsolve.sun.com/search/document.do?assetkey=1-66-233327-1
   • Java SE Technologies at a Glance - http://java.sun.com/javase/technologies/
   • Java SE Security - http://java.sun.com/javase/technologies/security/index.jsp
   • Can I remove older versions of the JRE after installing a newer version? - http://www.java.com/en/download/faq/5000070400.xml

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)
• Ruben Aquino Luna (raquino at seguridad dot unam dot mx)