Apple liberó una actualización para Java. Esta repara varias vulnerabilidades que pueden explotarse para burlar restricciones de seguridad, mostrar información sensible, o escalar privilegios.
Apple Support
302266
Mac OS X 10.3.9 | Java | < | 1.3.1_16 |
Mac OS X 10.3.9 | Java | < | 1.4.2_09 |
Mac OS X 10.4.2 | Java | < | 1.3.1_16 |
Mac OS X 10.4.2 | Java | < | 1.4.2_09 |
Apple liberó una actualización para Java. Esta repara varias vulnerabilidades que pueden explotarse por personas maliciosas para burlar restricciones de seguridad, mostrar información sensible, o escalar privilegios.
El primer problmea se debe a un "race condition" cuando se maneja un directorio temporal, éste puede explotarse por usuarios locales para corromper o crear archivos arbitrarios.
La segunda falla se debe a un "race condition" dentro de la ayuda, la cual crea archivos temporales de forma insegura cuando actualiza archivos de Java compartidos, ésto puede explotarse por usuarios locales para corromper o crear archivos arbitrarios.
La tercer vulnerabilidad es ocasionada por un error no especificado cuando se inicia el programa utilizado para actualizar los archivos compartidos de Java, lo cual puede explotarse por usuarios maliciosos para ejecutar comandos arbitrarios elevandose sus privilegios.
El cuarto hueco se debe a un error no especificado cuando se manejan applets maliciosos, lo cual puede explotarse por sitios maliciosos para burlar la política de seguridad por default y leer/escribir archivos arbitrarios dentro de un sistema con los privilegios del usuario que este utilizando el applet malicioso.
La quinta falla es ocasionada por un error que permite utilizar en múltiples ocasiones el mismo puerto del ServerSocket de Java, ésto permite a un programa malicioso en Java interceptar datos enviados al ServerSocket de Java por otro programa.
Security Bypass.
Exposición de información sensible.
Elevación de Privilegios.
Actualizar a la última versión de Java (1.4.2_09 o 1.3.1_16).
http://www.apple.com/support/downloads/
Mayor información.
http://docs.info.apple.com/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT