Oracle lanza un arreglo de emergencia para el exploit zero-day Java

Oracle lanzó parches de emergencia para Java el lunes para abordar dos vulnerabilidades críticas, una de las cuales está siendo explotada activamente por piratas informáticos en ataques dirigidos.

Las vulnerabilidades identificadas como CVE- 2013-1493 y CVE-2013-0809, están ubicados en el componente 2D de Java y recibieron el puntaje de impacto más alto posible de Oracle.

"Estas vulnerabilidades pueden explotarse remotamente sin autenticación, es decir, pueden explotarse a través de una red sin la necesidad de un nombre de usuario y contraseña ", dijo la compañía en una alerta de seguridad. "Para que un exploit sea exitoso, un usuario desprevenido que ejecuta un lanzamiento afectado en un navegador debe visitar una página web maliciosa que aproveche estas vulnerabilidades. Las exploraciones exitosas pueden afectar la disponibilidad, la integridad y la confidencialidad del sistema del usuario. "

[Más información: cómo eliminar el malware de su PC con Windows]

Las actualizaciones recientemente lanzadas llevan Java a las versiones 7 Actualización 17 (7u17) y 6 Actualización 43 (6u43), omitiendo 7u16 y 6u42 por razones que no fueron inmediatamente claras.

Oracle observa que Java 6u43 será la última actualización públicamente disponible para Java 6 y recomienda a los usuarios actualizar a Java 7. se suponía que la disponibilidad pública de las actualizaciones de Java 6 finalizaría con Java 6 Update 41, lanzada el 19 de febrero, pero parece que la compañía hizo una excepción para este parche de emergencia.

La vulnerabilidad CVE-2013-1493 ha sido explotada activamente por atacantes desde al menos el jueves pasado, cuando los investigadores de la firma de seguridad FireEye descubrieron ataques que lo usaban para instalar un malware de acceso remoto llamado McRAT. Sin embargo, parece que Oracle estaba al tanto de la existencia de este defecto desde principios de febrero.

"Aunque recientemente se recibieron informes de explotación activa de la vulnerabilidad CVE-2013-1493, este error se informó originalmente a Oracle el 1 de febrero de 2013, lamentablemente es demasiado tarde para ser incluido en la publicación del 19 de febrero de Critical Patch Update para Java SE ", dijo Eric Maurice, director de seguridad de software de Oracle, en una publicación de blog el lunes.

La compañía había planeado arreglar CVE-2013- 1493 en la próxima actualización programada de Patch crítico de Java el 16 de abril, dijo Maurice. Sin embargo, debido a que los atacantes comenzaron a explotar la vulnerabilidad, Oracle decidió lanzar un parche antes.

Las dos vulnerabilidades tratadas con las últimas actualizaciones no afectan a Java que se ejecuta en servidores, aplicaciones de escritorio Java independientes o aplicaciones Java integradas, Dijo Maurice. Se recomienda a los usuarios instalar los parches tan pronto como sea posible, dijo.

Los usuarios pueden deshabilitar la compatibilidad con contenido Java basado en la web desde la pestaña de seguridad en el panel de control de Java si no necesitan Java en la Web. La configuración de seguridad para dicho contenido está configurada en alta de forma predeterminada, lo que significa que se solicita a los usuarios que autoricen la ejecución de applets Java que no están firmados o tienen firma propia dentro de los navegadores.

Esto está diseñado para evitar la explotación automática de vulnerabilidades Java sobre el Web, pero solo funciona si los usuarios son capaces de tomar decisiones informadas sobre qué applets autorizar y cuáles no. "Para protegerse, los usuarios de computadoras de escritorio solo deberían permitir la ejecución de applets cuando esperan dichos applets y confiar en su origen", dijo Maurice.