Oracle libera parche para Java por vulnerabilidad explotada masivamente

El pasado lunes 4 de marzo Oracle liberó una nueva actualización de su ampliamente utilizado software Java para corregir dos vulnerabilidades, una de las cuales está siendo explotada activamente por atacantes.

Para los navegadores web que actualmente están corriendo las versiones 5, 6 y 7 de Java SE, la actualización corrige un par de vulnerabilidades con los registros CVE-2013-0809 y CVE-2013-1493.

El último fallo de seguridad está siendo aprovechado activamente en ataques que difunden el archivo ejecutable McRAT. Revelaron investigadores de la compañía de seguridad FireEye.

Oracle fue capaz de distribuir el parche de seguridad rápidamente debido a que tuvo conocimiento de ella desde el primero de febrero, pero no pudo ser incluida en la serie de actualizaciones de Java liberadas el 19 del mismo mes. Aunque tenía planeado corregir el hueco de seguridad en su próxima actualización, establecida para el día 16 de abril del presente año, dado a los reportes de explotación masiva de la vulnerabilidad, se apresuró la liberación de un parche, según anunció Eric Maurice, director de Seguridad de Software de Oracle en una publicación del blog el pasado lunes.

En ambas vulnerabilidades se asignaron 10 puntos (calificación más alta) de acuerdo al Sistema de Puntuación de Vulnerabilidades Comunes (CVSS).

Maurice agregó que Oracle cambió recientemente la configuración de seguridad de Java a “alta” de manera predeterminada, es decir, a los usuarios ahora se les preguntará si desean instalar un applet que no está firmado o que está autofirmado.

 Fuente