Mostrando mensaje 1712     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No 2660 Año 11, sábado 8 de marzo de 2008 Fecha: Sabado, 8 de Marzo, 2008  06:21:47 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No 2660 Año 11, sábado 8 de marzo de 2008 _____________________________________________________________ Múltiples vulnerabilidades en Sun Java _____________________________________________________________ http://www.vsantivirus.com/vul-sunjava-030308.htm Múltiples vulnerabilidades en Sun Java Por Angela Ruiz angela@videosoft.net.uy Sun ha publicado varios documentos de seguridad, describiendo múltiples vulnerabilidades que afectan a sus productos, y que han sido corregidas en sus versiones más recientes, las cuáles deberían ser instaladas a la brevedad por los usuarios que utilicen Java en sus navegadores. Algunas de los fallos, no requieren un código específico para ser explotados exitosamente. Dos vulnerabilidades en la máquina virtual de Java Runtime Environment (JRE), pueden permitir a aplicaciones o applets no confiables descargados de un sitio web, elevar sus propios privilegios. De ese modo, un applet (código para ejecutar pequeñas funcionalidades en las páginas Web), podría obtener los permisos para leer o escribir en archivos locales, o ejecutar aplicaciones que sean accesibles para el usuario actual. Otra de las vulnerabilidades se produce al procesar documentos XML mediante XSLT, y puede provocar una denegación de servicio, o incluso la ejecución de código mediante una aplicación o applet descargados de Internet. XSLT (Extensible Stylesheet Language Transformations), o Transformaciones del Lenguaje Extensible de Hojas de Estilo, es un lenguaje que permite convertir documentos XML. Cuatro vulnerabilidades, tres de ellas del tipo desbordamiento de búfer que afectan a Java Web Start, pueden permitir elevar los privilegios de una aplicación descargada de Internet, o incluso leer o escribir en archivos locales, o ejecutar código no solicitado. Java Web Start es un componente del entorno de ejecución de Java (JRE o Java Runtime Environment), que permite descargar y ejecutar aplicaciones Java desde la Web. Un fallo en la seguridad de Java Plug-in, puede permitir a un applet descargado de Internet, eludir la seguridad que le impide la ejecución de código local. Java Plug-in se utiliza para conectar la tecnología Java a los navegadores de Internet mediante JavaScript (Java y JavaScript son cosas diferentes), permitiendo el uso de applets de Java. Una vulnerabilidad en el intérprete de imágenes de Java Runtime, puede permitir que una aplicación o applet descargados de un sitio web malicioso, pueda ejecutar código a nivel local. Otras dos vulnerabilidades relacionadas con la administración del color, pueden ocasionar una denegación de servicio, haciendo que el programa deje de responder. Otra vulnerabilidad en JRE, puede permitir que código en JavaScript descargado por el navegador, pueda conectarse a los servicios de red del sistema a través de las APIs de Java. Esto permite que se pueda acceder a archivos o a la explotación de vulnerabilidades en estos servicios. No son vulnerables las siguientes versiones: - Sun JRE (Windows Production Release) 1.4.2_17 - Sun JRE (Windows Production Release) 1.3.1_22 - Sun JRE (Solaris Production Release) 1.4.2_17 - Sun JRE (Solaris Production Release) 1.3.1_22 - Sun JRE (Linux Production Release) 1.4.2_17 - Sun JRE (Linux Production Release) 1.3.1_22 - Sun JRE 6.0 Update 5 - Sun JRE 5.0 Update 15 - Sun JDK 6.0 Update 5 - Sun JDK 5.0 Update 15 - Sun Java 2 Standard Edition SDK 1.4.2 - Sun Java 2 Standard Edition SDK 1.3.1_22 Para determinar la versión de Java instalada en su sistema Windows, abra una ventana de línea de comandos o símbolo de sistema y escriba la siguiente orden: java -version * Solución: Actualizarse a la versión más reciente de Sun Java desde el siguiente enlace: http://www.java.com/es/download/manual.jsp Para la mayoría de los usuarios domésticos, se instalará la versión 6 Update 5. Muchos usuarios de Windows, tienen alguna versión de Java instalada en su equipo. Debido a la gran cantidad de malware existente que intenta aprovecharse de agujeros de seguridad en este lenguaje, es aconsejable actualizarse a la misma a la brevedad. Es importante recordar que luego de instalar esta versión, se deben desinstalar desde Agregar o quitar programas, todas las versiones anteriores de Java, ya que las mismas no son desinstaladas por defecto. Sun Java pone en riesgo la seguridad de nuestro PC http://www.vsantivirus.com/java-sun-030905.htm Hay actualizaciones para Windows, Linux y Solaris. * Más información: Sun Java SE Multiple Security Vulnerabilities http://www.securityfocus.com/bid/28083 Update Release Notes http://java.sun.com/javase/6/webnotes/ReleaseNotes.html (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Mantenga actualizado su programa antivirus. De poco vale tener un antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. De todos modos, hoy en día las actualizaciones de la mayoría de los fabricantes son diarias y automáticas. Si tiene un producto que no se actualiza automáticamente, piense seriamente en cambiarlo. 2) No abra ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Tampoco haga clic en enlaces sugeridos en aquellos correos o mensajes instantáneos que no solicitó. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Manténgase informado de cómo operan los virus, y de las novedades sobre éstos, alertas y anuncios críticos, en sitios como el nuestro. 4) No descargue nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceda como con los archivos adjuntos. Cópielos a una carpeta y revíselos con su antivirus debidamente actualizado, antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.eset.com.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No 2660 Año 11, sábado 8 de marzo de 2008