(Por El Microsaurio) Hoy es martes de parches para Microsoft, y también para Oracle. ¿Los administradores de sistemas? Bien, gracias… Además de los Boletines de Seguridad de Microsoft, cuyo contenido ya adelantamos el viernes y sindudamente glosaremos mañana, la buena gente de Oracle publica hoy su Critical Patch Update, del cual pude leer un resumen en esta página y, claro, te comento para que te vayas poniendo en tema.
En efeuto, como diría Catita (la de Niní), Oracle informó que (traduzco y adapto) esta actualización crítica contiene 47 soluciones para problemas de seguridad, que involucran a “centenares de productos Oracle”; 16 de esos errores de programación que producen fallas de seguridad (esa frase es mía…) se relacionan con productos Sun Solaris. Curiosamente, aunque emparcharon fallas de Solaris y de Java, no cubrieron el problemón que descubrió (y puntualmente les avisó) el amable Tavis Ormandy, programador que trabaja para Google.
Resulta que don Tavis encontró una falla en un componente de Java Web Start (javaws), que está en el “Java Deployment Toolkit” usado por los desarrolladores de contenidos en Java. La falla (que abre una puerta a los atacantes, y no te diré cuál) fue descubierta en la distribución Java 6 Update 10.
Para empeorar, desde el laboratorio de Symantec agregan: “el JRE (Java Runtime Environment) en versiones 1.6.0_10 y anteriores, correspondientes a JRE 6 Update 10 y anteriores, pueden ser víctimas de un ataque que afecta a varios plugins Java para navegadores…”
Resumen molesto (productos afectados):
- Plugin de ActiveX para plataforma Java en Microsoft Internet Explorer
- Dos “dll” que corresponden a plugins de Mozilla Firefox y Google Crome
- Linux también podría estar afectado por un problema relacionado con esa falla de programación, según informó el especialista Rubén Santamarta, de la madrileña empresa Wintercore: “…Linux contiene código vulnerable (…) y podría ser atacado usando una secuencia apropiada de argumentos en línea de comandos, pero no tuve tiempo de investigarlo; estuve focalizado en Windows en el momento del aviso…”
*Este mismo especialista recomienda: “…deshabiliten javaws/javaws.exe en Linux y Windows…”
Paciencia, y ojalá Oracle se conmueva y saque un parche. Ah, como de costumbre: desactivando ActiveX y JavaScript pueden llegar a zafar, pero en este caso no es un remedio absoluto. Que les sea leve.
[…] que informó Tavis Ormandy el 10 de abril. La tal vulnerabilidad y quien la investigó ya te fueron presentados en Tecnozona días atrás. Y el problema, si repasás lo que escribimos en esa ocasión, es serio. Otra puerta […]