Oracle dio a conocer el viernes información sobre la alerta de seguridad CVE-2016-0603 , corrige una vulnerabilidad en Java 6, 7 y 8 cuando se instala en la plataforma Windows.

"Para ser aprovechada esta vulnerabilidad, se requiere que un usuario desprevenido sea engañado para que visite un sitio web malicioso y descargue archivos en el sistema del usuario antes de instalar Java SE 6, 7 u 8" explicó Oracle.

"Es relativamente compleja de explotar pero si se realiza con exito, esta vulnerabilidad puede provocar que el sistema de los usuarios se comprometa totalmente." El fallo ha recibido una puntuación base de 7.6 en el CVSS, lo que se traduce como Alto.

Oracle ha explicado que los clientes con Java ya instalados no están en riesgo y que cualquier persona que vaya a instalar el software debe utilizar el sitio web oficial para evitar el riesgo de infección.

"A modo de recordatorio, Oracle recomienda que los usuarios caseros de Java visiten Java.com para garantizar que están ejecutando la versión más reciente de Java SE y que todas las versiones anteriores han sido completamente eliminadas" dijo la firma.

El Director general de Qualys, Wolfgang Kandek instó a cualquier persona que instale Java estar al tanto en los próximos días de la solución de Oracle. "Como Oracle señala, las instalaciones existentes no están en riesgo. Las nuevas instalaciones deben usar los últimos paquetes fijos publicados por Oracle" dijo.

"Esto haría frente a la situación en la que un usuario final que haya visitado un sitio malicioso y su máquina haya sido preparada previamente por un atacante sea víctima de un ataque por la descarga de versiones alteradas o del tipo de los que involucran DLL."

La solución viene dos semanas después de que Oracle emitió su actualización de seguridad trimestral estándar, la cual contenía 248 correcciones.