Oracle lanza un paquete de actualizaciones para Java, fuera de ciclo.

Oracle se dispone a liberar un paquete de parches de seguridad para Java
el próximo 18 de junio, fuera de su ciclo habitual cada tres meses. El
motivo, como menciona Oracle, se debe a que al menos uno de los fallos
está siendo activamente explotado con éxito.

Al menos 37 de las 40 vulnerabilidades están calificadas con una
puntuación de 10 en la escala CVSS. Es decir, su explotación conlleva
la ejecución de código arbitrario en el equipo. Típicamente, las
vulnerabilidades encontradas en Java son explotadas a través de applets
incrustados en páginas webs comprometidas. La visita de estas páginas
supone la explotación e infección de un equipo cuya versión de Java no
esté actualizada o que no disponga de las políticas de restricción
adecuadas que impidan la ejecución de applets no confiables.

Estas 40 vulnerabilidades se suman a las 97 que lleva corregidas en
lo que va de año. Cabe recordar que 2012 se cerró con un total de 58.
Oracle ya desveló un cambio en la política de seguridad concerniente a
Java, tal y como dijo Nandini Ramani (Jefe del equipo de desarrollo de
Java) el pasado 30 de mayo.

A Oracle le han llovido las críticas, en materia de seguridad, debido
sobre todo a la demora en la publicación de parches, a no mantener una
política de seguridad proactiva respecto a la búsqueda de fallos en su
plataforma o la permisividad con la que se ejecutaban los applets. En
cada actualización se seguridad Oracle ha ido restringiendo la ejecución
de applets. Desde la eliminación de la opción “baja” en el nivel de
seguridad hasta la prohibición de applets no firmados o autofirmados.

Las versiones afectadas son:

JDK y JRE 7 update 21 y anteriores.
JDK y JRE 6 update 45 y anteriores.
JDK y JRE 5.0 update 45 y anteriores.
JavaFX 2.2.21 y anteriores.

 Fuente