UNAM-CERT

1. Sistemas Afectados

   Versiones de Sun Java Runtime Enviroment

   • JDK y JRE 6 actualización 6 y anteriores
   • JDK y JRE 5.0 actualización 15 y anteriores
   • SDK y JRE 1.4.2_17 y anteriores
   • SDK y JRE 1.3.1_22 y anteriores

2. Descripción

   Sun Java Runtime Enviroment (JRE) permite a usuarios ejecutar aplicaciones Java en un

   navegador o como programas independientes. Sun ha liberado actualizaciones para el

   software de Java Runtime Enviroment para tratar múltiples vulnerabilidades. Mayor

   información sobre esta vulnerabilidad se encuentra disponible en la Base de Datos de Notas de

   Vulnerabilidades del US-CERT.

   Sun ha liberado las siguientes alertas para tratar estos problemas:

   • 238628 Vulnerabilidades de seguridad en Java Runtime Enviroment relacionadas con el procesamiento de XML Data
   • 238666 Vulnerabilidad de seguridad con el procesamiento de fuentes en Java Runtime Enviroment podría permitir elevar privilegios
   • 238687 Vulnerabilidades de seguridad en Java Runtime Enviroment Scripting Languaje Support
   • 238905 Múltiples vulnerabilidades de seguridad en Java Web Start podría permitir elevar privilegios
   • 238965 Vulnerabilidad de seguridad en Java Management Extension (JMX)
   • 238966 Vulnerabilidad de seguridad en JDK/JRE Secure Static Versioning
   • 238967 Vulnerabilidad de seguridad en Java Runtime Enviroment Virtual Machine podría permitir a una aplicación no confiable o a un applet elevar privilegios
   • 238968 Vulnerabilidades de seguridad en Java Runtime Enviroment podría permitir que Same Origin Policy sea traspasado.

3. Impacto

   El impacto de estas vulnerabilidades varía. La mas severa de estas vulnerabilidades

   permite a un atacante remoto ejecutar código arbitrario.

4. Solución

   Aplicar actualización de Sun

   Estas actualizaciones están tratadas en las siguientes versiones de Sun Java Runtime

   Enviroment:

   • JDK y JRE 6 actualización 7
   • JDK y JRE 5.0 actualización 16
   • SDK y JRE 1.4.2_18
   • SDK y JRE 1.3.1_23

   Si instala la ultima versión de Java, versiones anteriores podrán permanecer

   instaladas en tu computadora. Si no se necesitan estas viejas versiones, se puede remover con las siguientes instrucciones de Sun.

   Deshabilite Java

   Deshabilite Java en su navegador local, como se describe en el documento Asegurado Su

   Navegador Web. Mientras que este no corrige las vulnerabilidades subrayadas, este bloquea

   los vectores de ataques comunes.

5. Referencias

   • Asegurando Su Navegador Web http://www.us-cert.gov/reading_room/securing_browser/
   • Alerta Sun 238628 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1
   • Alerta Sun 238666 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1
   • Alerta Sun 238687 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1
   • Alerta Sun 238905 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1
   • Alerta Sun 238965 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1
   • Alerta Sun 238966 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1
   • Alerta Sun 238967 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1
   • Alerta Sun 238968 http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1
   • Tecnologias Java SE en un vistazo http://java.sun.com/javase/technologies/
   • Seguridad en Java SE http://java.sun.com/javase/technologies/security/index.jsp
   • ¿Puedo remover viejas versiones de JRE después de instalar una nueva versión? http://www.java.com/en/download/faq/5000070400.xml

El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Inés Gervacio Gervacio (jgervacio at seguridad dot unam dot mx)
• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)