Las vulnerabilidades de Java después de la compra de Sun por parte de Oracle han salido a la luz y de manera muy notable. Hablamos de nada menos que 29 vulnerabilidades críticas en Java, 28 de ellas graves, que permitían exploits remotos sin requerir autentificación.
De estas últimas, 15 han recibido nada menos que catalogación de máximo riesgo, 10, según CVSS. Se espera que Oracle lance una nueva actualización de su software en los próximos días. Mientras tanto, recomendamos mantener gran precaución ante aplicaciones Java. Os dejamos una lista de varias vulnerabilidades.
|
CVE
|
Attacks
|
Computers
|
Description
|
|
CVE-2008-5353
|
3,560,669
|
1,196,480
|
A deserialization issue in vulnerable versions of JRE (Java Runtime Environment) allows remote code execution through Java-enabled browsers on multiple platforms, such as Microsoft Windows, Linux, and Apple Mac OS X.
|
|
CVE-2009-3867
|
2,638,311 |
1,119,191
|
Another remote code execution, multi-platform issue caused by improper parsing of long file:// URL arguments.
|
|
CVE-2010-0094
|
213,502 |
173,123
|
Another deserialization issue, very similar to CVE-2008-5353.
|
En palabras de Holly Stewart: “Los dos primeros, en particular, han pasado de miles a millones de ataques en el último trimestre“.
Fuente: muyseguridad
