• Tweet

Oracle publicó un parche de emergencia para una vulnerabilidad de Java que puede causar que los sistemas se suspendan y puedan ser explotados por atacantes remotos sin autenticación.

El error causa que el entorno de ejecución de Java se suspenda al convertir "2.2250738585072012e-308" a un número binario de punto flotante, de acuerdo con la alerta. "El ataque exitoso de esta vulnerabilidad puede resultar en una autorización para causar una caída o accidente con una frecuencia repetible (completa denegación de servicio) del entorno de ejecución de Java". "Servidores de aplicaciones basadas en Java y Web están especialmente expuestas a esta vulnerabilidad".

Un número de productos se ven afectados por el error, incluyendo Java SE y Java para negocios. Una lista completa y enlaces a los parches recomendados han sido publicados en la pagina web de Oracle.

Comúnmente, Oracle emite parches de seguridad para todos los productos afectados en forma trimestral, aunque como en este caso, también emite correcciones de errores al considerarlos demasiado graves, sin esperar a la próxima actualización.

Un experto en seguridad mencionó que la última actualización trimestral, que fue publicada en enero, incluyó más de 60 correcciones. Esto no parece ser suficiente, dado el número de adquisiciones que Oracle hizo en los últimos años.

"En el pasado, cuando Oracle tenía mucho menos productos, reparaba 100 vulnerabilidades de base de datos a la vez. Uno podría asumir que numerosos productos requieren más revisiones, sin embargo, estamos viendo pequeños parches con menos correcciones para más productos", escribió Amichai Shulman, CTO de la empresa de seguridad Imperva, en una entrada en el blog.