Oracle lanza un parche de emergencia para el último fallo Día Cero de Java

Oracle lanzó ayer parches de emergencia para Java con el fin de solucionar dos vulnerabilidades críticas, una de las cuales está siendo explotada activamente por los hackers en ataques dirigidos.

Identificadas como CVE-2013-1493 y CVE-2013-0809, las vulnerabilidades están localizadas en el componente 2D de Java y han recibido la máxima puntuación de riesgo que Oracle concede a una vulnerabilidad.

En una alerta de seguridad Oracle explica que estas vulnerabilidades pueden ser explotadas de manera remota sin autenticación, es decir, pueden ser explotadas en una red sin necesidad de un nombre de usuario y contraseña. “Para que un exploit tenga éxito, un usuario no sospechoso ejecutando un navegador ya afectado debe visitar una página web maliciosa que explote estas vulnerabilidades”, dice Oracle explicando que cuando un exploit tiene éxito se pone en riesgo la “disponibilidad, integridad y confidencialidad” del sistema del usuario.

Las nuevas versiones de Java son Java 7.17 y Java 6.43. Oracle ha aprovechado para decir que Java 6.43 será la última actualización de esta versión de Java, y pide a los usuarios que actualicen a Java 7.

La vulnerabilidad CVE-2013-1493 ha sido explotada activamente por los atacantes desde al menos el pasado jueves, cuando investigadores de la empresa de seguridad FireEye descubrieron ataques que estaban instalando un malware para acceso remoto llamado McRAT. Parece sin embargo, que Oracle fue advertido de la existencia de este fallo a comienzos de febrero.

En un post publicado el lunes Oracle explica que había planeado solucionar CVE-2013-1493 en la próxima actualización programada de Java, el próximo 16 de abril, pero que ya que la vulnerabilidad ha empezado a explotarse Oracle decidió lanzar el parche antes.

Las dos vulnerabilidades reparadas en este parche de emergencia no afectan al Java que se ejecuta en los servidores, sino en las aplicaciones Java de escritorio o las aplicaciones Java embebidas.