Categories: SeguridadVirus

Múltiples vulnerabilidades en Java Runtime Environment

Estos problemas de seguridad afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.

JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x…) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.

Las vulnerabilidades, de los que no se han dado detalles técnicos, son:

* Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.

* Una aplicación Java Web Start o un applet especialmente manipulado permitiría mover o copiar ficheros arbitrarios en el sistema en el que se ejecuten. Para que la vulnerabilidad pueda ser aprovechada, el usuario de la aplicación o applet debe arrastrarlo y soltarlo a otra aplicación que tenga permisos de acceso a los archivos objetivo.

* Un fallo en el tratamiento de applets permitiría realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet. Esto podría ser aprovechado por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.

* Se han encontrado varias vulnerabilidades en la interpretación de Javascript de JRE que podrían causar un salto de restricciones de red y podrían ser aprovechadas por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.

* Se ha encontrado una vulnerabilidad en Java Runtime Environment (JRE) que permitiría que código Javascript hiciera conexiones de red vía Java APIs a otros servicios o máquinas que no fueran desde donde se descargó el código Javascript.

* Se ha encontrado otra vulnerabilidad en Java Runtime Environment (JRE) que permitiría a un applet, descargado a través de un proxy, realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet.

Estas dos últimas vulnerabilidades no afectan a Internet Explorer.

* Múltiples vulnerabilidades en Java Web Start podrían permitir a una aplicación maliciosa leer archivos locales accesibles desde la aplicación, determinar la localización de la caché de Java Web Start o leer y escribir archivos locales accesibles desde la aplicación.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago