Saturday, January 22, 2005

Detectan vulnerabilidades críticas en plug-in para Java
(21/01/2005 18:19): Secunia ha detectado dos nuevas vulnerabilidades de rango crítico en varias versiones del plug-in de Java para navegadores web. SANTIAGO: Esta semana, Sun informó y corrigió dos vulnerabilidades en varias versiones de su plug-in para navegadores. La compañía de seguridad informática Secunia sitúa a ambas vulnerabilidades en la categoría de “muy críticas”. Una de las vulnerabilidades se produce como resultado de un error en la activación de JavaScript que ejecuta código Java. Según Secunia, el agujero puede ser explotado mediante un applet maligno publicado en un sitio web, que permitiría tener acceso a los sistemas de las PC visitantes. La explotación de la vulnerabilidad presupone que el usuario tenga instalado Internet Explorer. El problema está presente en SDK y JRE 1.4.2, 1.4.1_06 y anteriores, todas las versiones 1.4.0 y 1.3.1_12. La vulnerabilidad es corregida en las versiones 1.4.2_01 y 1.3.1_13 de SDK y JRE. La segunda vulnerabilidad permite a un applet inseguro actuar sobre otro applet en el mismo sitio web, de forma que el último descargue recursos como archivos y sitios de manera incorrecta. Aún no está totalmente clara la forma en que pueda ser explotada la vulnerabilidad. Esta última vulnerabilidad está presente en las versiones SDK y JRE 1.4.2_05 y anteriores, en todas las versiones de 1.4.0 y 1.4.1, y en 1.3.1_12 para Windows, Solaris y Linux. Los agujeros de seguridad están corregidos en SDK- y JRE, versiones JRE 1.4.2_06 y 1.3.1_13. JDK y JRE 5.0 no están afectadas por las vulnerabilidades.