Oracle emitió un alerta sobre dos vulnerabilidades en Java altamente críticas que permiten la ejecución de código arbitrario de forma remota. Estas vulnerabilidades responden al CVE-2013-1493 y CVE-2013-0809.
Las dos vulnerabilidades afectan a los componentes 2D de Java SE. Sin embargo, las versiones de Java que se ejecutan en servidores y las aplicaciones embebidas o de escritorio en Java no son explotables. Ambas vulnerabilidades podrían permitir a un atacante explotarlas remotamente sin ningún tipo de autenticación, es decir, sin conocer usuario y contraseña.
En caso de que una potencial víctima con una versión vulnerable visite una página web maliciosa, podría explotar alguna de estas vulnerabilidades sin que el usuario lo perciba. Las versiones de Java vulnerables son las siguientes:
- JDK y JRE 7 Update 15 y versiones anteriores.
- JDK and JRE 6 Update 41 y versiones anteriores
- JDK and JRE 5.0 Update 40 y versiones anteriores.
Es importante que el usuario actualice a la versión correspondiente para que su sistema ya no sea vulnerable a estos tipos de ataques. Oracle ha liberado los parches correspondientes para que el usuario pueda realizar la actualización inmediatamente.
Recordamos que esta no es la primera alerta sobre vulnerabilidades de esta categoría. Anteriormente alertamos sobre exploit 0 day que afectaba a Java y propagaba malware. Asimismo, también observamos como un exploit 0-day de Java logró instalar malware Facebook.
Es importante que tomemos conciencia sobre este tipo de vulnerabilidades y consideremos que el impacto podría ser muy grande si no se toman las medidas necesarias.
¿Qué esperas para parchear?
Fernando Catoira
Analista de Seguridad