Oracle lanzó una nueva actualización de Java para parchar vulnerabilidades de día cero en un plugin del navegador, la quinta vez que actualiza la plataforma este año.
Esta nueva actualización parcha las fallas CVE-2013-1493 y CVE-2013 0809, la primera fue descubierta la semana pasada explotada en el medio silvestre para Java 6 update 41 a través de Java 7 update 15.
La vulnerabilidad permite la ejecución arbitraria de memoria en el proceso de la máquina virtual de Java, los atacantes explotando la falla podían descargar el troyano de acceso remoto McRAT.
De acuerdo con expertos de FireEye, McRAT es un exploit que intenta sobreescribir una gran cantidad de memoria y destroza la máquina virtual Java.
Oracle dijo que la vulnerabilidad CVE-2013-1493 fue descubierta el primero de febrero, lo que resultó demasiado tarde para que la actualización fuera incluida en el pasado update.
“A la luz de los informes de explotación activa de CVE-2013-1493, y con el fin de ayudar a mantener la postura de seguridad de todos los usuarios de Java SE, Oracle decidió lanzar una solución para esta vulnerabilidad y otro bug estrechamente relacionado”, escribió Eric P. Maurice, asesor de la empresa.
Las dos fallas son explotables remotamente y se les dio el más alto nivel de criticidad de Oracle.
La noticia de la liberación de Java 7 update 17 se produjo horas después de que surgieron informes de que las vulnerabilidades en Java adicionales fueron descubiertas por investigadores de Exploraciones de Seguridad de Polonia.
Esa firma dijo que ha informado a Oracle de siete vulnerabilidades de Java desde el 25 de febrero, las cuales no han sido arregladas.
Fuente: http://www.bsecure.com.mx/featured/oracle-libera-nuevo-parche-de-emergencia-para-java/