Categories: SeguridadVirus

Múltiples vulnerabilidades en Java Runtime Environment

Estos problemas de seguridad afectan a diferentes versiones. Estas herramientas también se engloban dentro del producto Java 2 Platform, Standard Edition

JDK (Java Development Kit) y SDK (Software Development Kit) son productos destinados a los desarrolladores de programas Java. JRE (Java Runtime Environment) es un entorno que permite a las aplicaciones Java ejecutarse en el sistema e interpretar gran cantidad de contenido web.

JRE es además un producto presente en la mayoría de clientes, que lo usan como plugin del navegador, de ahí la importancia de mantener actualizado el sistema. Se han dado bastantes casos de malware que ha intentado aprovechar vulnerabilidades en JRE para ejecutar código arbitrario en el sistema. Sin embargo, el hecho de que existan varias ramas en desarrollo (1.4.x, 5.x, 6.x…) con saltos de versiones y cambios en la nomenclatura, unido al hecho de que pueden convivir varias ramas en un mismo sistema de forma que necesiten actualización por separado, hacen que el mantenimiento de esta máquina virtual resulte confuso para muchos usuarios.

Las vulnerabilidades, de los que no se han dado detalles técnicos, son:

* Cuando los applets o aplicaciones no confiables muestran una ventana, Java Runtime Environment muestra además un mensaje de advertencia. Un defecto en JRE permitiría que un applet o aplicación especialmente manipulada mostrara una ventana con un tamaño mayor que ocultaría la advertencia al usuario.

* Una aplicación Java Web Start o un applet especialmente manipulado permitiría mover o copiar ficheros arbitrarios en el sistema en el que se ejecuten. Para que la vulnerabilidad pueda ser aprovechada, el usuario de la aplicación o applet debe arrastrarlo y soltarlo a otra aplicación que tenga permisos de acceso a los archivos objetivo.

* Un fallo en el tratamiento de applets permitiría realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet. Esto podría ser aprovechado por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.

* Se han encontrado varias vulnerabilidades en la interpretación de Javascript de JRE que podrían causar un salto de restricciones de red y podrían ser aprovechadas por un atacante para obtener acceso a ciertas vulnerabilidades o recursos de red que normalmente no serían accesibles.

* Se ha encontrado una vulnerabilidad en Java Runtime Environment (JRE) que permitiría que código Javascript hiciera conexiones de red vía Java APIs a otros servicios o máquinas que no fueran desde donde se descargó el código Javascript.

* Se ha encontrado otra vulnerabilidad en Java Runtime Environment (JRE) que permitiría a un applet, descargado a través de un proxy, realizar conexiones de red a otros servicios o máquinas que no fueran desde donde se descargó el applet.

Estas dos últimas vulnerabilidades no afectan a Internet Explorer.

* Múltiples vulnerabilidades en Java Web Start podrían permitir a una aplicación maliciosa leer archivos locales accesibles desde la aplicación, determinar la localización de la caché de Java Web Start o leer y escribir archivos locales accesibles desde la aplicación.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Zyxel aumenta la protección de sus cortafuegos para pymes

La nueva serie Zyxel USGFLEX Ultimate H mejora su sistema operativo uOS y añade algoritmos…

18 horas ago

Javier Torres se pone al frente de Cegid en Iberia, Latinomérica y África

Su nombramiento como Country Manager se produce en un momento clave para España, con cambios…

18 horas ago

Teresa Oliva García liderará Avanade en el mercado ibérico

Sustituye a Paula Panarra como directora general de esta compañía experta en Microsoft.

19 horas ago

Young Hyun Jun se convierte en co-CEO de Samsung Electronics

Además, ejercerá como jefe del negocio de Memoria y del Samsung Advanced Institute of Technology.

19 horas ago

Los ingresos trimestrales de CrowdStrike rebasan los 1.000 millones de dólares

Han aumentado un 29 % durante el tercer trimestre de su ejercicio 2025 para llegar…

20 horas ago

Dell Technologies registra crecimientos de doble dígito en ingresos y ganancias

Durante el tercer trimestre de su año fiscal 2025 ingresó 24.400 millones. Entre soluciones de…

21 horas ago