Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en Java Web Start de Sun (JNLP)
 
VSantivirus No 2491 Año 11, martes 10 de julio de 2007

 Vulnerabilidad en Java Web Start de Sun (JNLP)
http://www.vsantivirus.com/vul-javawebstart-050707.htm

Por Angela Ruiz
angela@videosoft.net.uy

Java Web Start es un componente del entorno de ejecución de Java (JRE o Java Runtime Environment), que permite descargar y ejecutar aplicaciones Java desde la Web.

Se utiliza para activar las aplicaciones con un simple clic, eliminando complejos procedimientos de instalación o actualización, además de garantizar que se está ejecutando la última versión de la aplicación.

Se ha reportado en Java Web Start una vulnerabilidad del tipo desbordamiento de stack (stack overflow), que se produce al manejar archivos JNLP.

La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas.

JNLP (Java Network Launching Protocol), es un protocolo que permite ejecutar aplicaciones Java a través de la red.

La vulnerabilidad puede ser explotada a partir de un archivo JNLP maliciosamente modificado, permitiendo la ejecución de código con los mismos privilegios del usuario actual.

Son vulnerables las versiones de Java Web Start en los siguientes JRE (Java Runtime Environment o Entorno de Tiempo de Ejecución Java de Sun):
  • JRE 5 Update 11 y anteriores para Windows, Solaris y Linux
  • JRE 6 Update 1 y anteriores para Windows, Solaris y Linux

También son vulnerables las mismas versiones JDK (Java Development Kit) y SDK (Standard Development Kit), utilizadas para el desarrollo de aplicaciones Java.

Para determinar la versión de Java instalada en su sistema, abra una ventana de línea de comandos o símbolo de sistema y escriba la siguiente orden:

java -version

El resultado se verá así:

java version "1.6.0_02"

NOTA: "1.6.0_02" corresponde a la versión instalada en su PC. Si es inferior a ese valor, su sistema es vulnerable y debe proceder a actualizarse a la brevedad.


Solución:

Actualizarse a la versión más reciente de Sun Java:

Java Runtime Environment (JRE) 6u2
http://java.sun.com/javase/downloads/index.jsp


IMPORTANTE:

Se recomienda desinstalar todas las versiones anteriores de Sun Java. Más información:

Sun Java pone en riesgo la seguridad de nuestro PC
http://www.vsantivirus.com/java-sun-030905.htm


Más información:

Sun Java WebStart JNLP Stack Buffer Overflow Vulnerability
http://research.eeye.com/html/advisories/published/AD20070705.html






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS