This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Oracle lanza parche para el último hoyo Java - Actualiza ahora!

Filed Under: Featured, Malware, Vulnerability

La gran - no, la inmensa! el enorme! - Noticias de seguridad el fin de semana ha sido CVE-desde 2013 hasta 0422.

Ese es el reciente agujero de seguridad de Java que permite a los applets de Java en su navegador escapar de las estenosis de Java de seguridad.

Eso significa que un applet de Java (que suele ser muy limitado en el tipo de cambios que puede realizar en su PC) puede infectar su PC con programas maliciosos, sin ni siquiera una ventana emergente o un son-Seguro.

Esta vulnerabilidad se convirtió en un gran problema en el corto plazo, ya que se incluyó rápidamente en paquetes de exploits como el frío EK y Paquete Nuclear. Exploit packs son pre-empaquetados crimeware-as-a-Service herramientas que se pueden alquilar para tener su malware que se distribuye para usted.

Así que aquí hay algunas buenas noticias:. Oracle ha estado en la bola y ya ha salido con un parche Java 7 Update 11 corrige tanto CVE-desde 2013 hasta 0422 y una segunda vulnerabilidad.

En las propias palabras del behemoth base de datos:

Debido a la gravedad de las vulnerabilidades, la divulgación pública de los datos técnicos y la explotación informó de CVE-2013-0422 "In the Wild", Oracle recomienda encarecidamente que los clientes apliquen las actualizaciones proporcionadas por esta Alerta de Seguridad tan pronto como sea posible.

Esta actualización también cambia el valor por defecto Java Nivel de seguridad de la configuración de media a alta.

Como Oracle explica, en el ajuste de alta, usted está "siempre pregunte antes de firmar cualquier applet de Java o aplicaciones Java Web Start se ejecuta."

No hay una cantidad enorme que decir sobre el parche más allá de eso. Fijar temprano, arreglar a menudo!

Tenga en cuenta que las vulnerabilidades de Oracle sólo parches no se aplican a las aplicaciones Java autónomas o del lado del servidor instala Java. Sólo se aplican a los applets, que se ejecutan dentro del navegador.

Su navegador habitual e inevitablemente te pone en peligro, ya que, inevitablemente, las descargas y los intentos de analizar, procesar y mostrar, el contenido no es de confianza.

Así que, incluso después de actualizar, te recomiendo que a su vez fuera de Java dentro de su navegador a menos que sepa usted lo necesita.

Si sólo hay uno o dos sitios específicos para los cuales necesita Java, puede ser un dolor para seguir recordando a encenderlo, y es fácil de olvidar para apagarlo de nuevo más tarde.

En tales casos, es posible que desee considerar la ejecución de dos navegadores, uno con Java habilitado y otro sin él.

Por supuesto, si usted hace esto, usted necesita para mantener ambos navegadores parcheado - incluso (o quizás especialmente, ya que es el que tiene Java activado) el que sólo utilizan con poca frecuencia.

Por cierto, si lo hace girar Java en su navegador, o cree que lo hizo, es digno de la comprobación.

Un lugar práctico para hacerlo es Javatester.org , una página web que intenta lanzar un applet pequeño para obtener la respuesta "de la boca del caballo", como se dice.

Si tiene Java desactivado, confirmará esto para usted.

Si tiene Java activado, lo hará la confirmación del número de la versión exacta del Java Runtime Environment (JRE) en sí. Esto significa que usted puede estar seguro de que está ejecutando la versión que usted espera.

¿Y ahora? Deja de leer, comienza parchear!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog