Video: How to fix error: oracle java se runtime environment version 7 update 51- MS SQL 2016 | 4Fun4You (Noviembre 2024)
Oracle lanzó una actualización de emergencia para cerrar un grave error de seguridad en Java que los atacantes ya estaban utilizando para entrar en las computadoras de los usuarios.
El parche fuera de banda aborda la vulnerabilidad crítica recientemente descubierta en Java 7 de Oracle, dijo Oracle en su aviso de seguridad publicado el 13 de enero. Un atacante explotaría la última falla al engañar a los usuarios para que visiten un sitio web que ejecuta un applet malicioso. Se aconseja a los usuarios que actualicen inmediatamente a Java 7 Update 11.
Java 7 Update 11 mitiga tanto CVE-2013-0422 (la última vulnerabilidad) como CVE-2012-3174, un error de ejecución remota de código más antiguo que se remonta a junio pasado. Ambas fallas recibieron una calificación del Sistema de calificación de vulnerabilidad común de 10, el puntaje máximo posible en esta escala. En este parche, Oracle cerró la falla y también cambió la forma en que Java interactuaba con las aplicaciones web.
"El nivel de seguridad predeterminado para los applets de Java y las aplicaciones de inicio web ha aumentado de 'medio' a 'alto", dijo Oracle en el aviso.
Esto significa que siempre se le solicitará al usuario que se ejecute un applet Java o una aplicación Web Start sin firmar. Anteriormente, los applets y aplicaciones Java se ejecutaban automáticamente si los usuarios tenían instalada la última versión de Java. Con la configuración "alta", el usuario siempre recibe una advertencia antes de ejecutar cualquier aplicación sin firmar para que los atacantes no puedan lanzar ataques silenciosos, dijo Oracle.
Parche fuera de banda
Un parche de emergencia de Oracle es inusual. La compañía generalmente aplica parches a Java en un ciclo trimestral, pero probablemente lanzó esta solución fuera de banda porque el código de ataque que explota esta vulnerabilidad ya se ha agregado a varios kits de exploits populares, incluidos "Blackhole" y "NuclearPack". Los kits de Crimware hacen que sea más fácil para los delincuentes infectar computadoras con malware y hacerse cargo de las máquinas para sus propios fines nefastos. Los investigadores ya han descubierto sitios web que ejecutan el código, aunque no se sabe en este momento cuántos usuarios ya se han visto comprometidos.
Oracle lanzó previamente un parche fuera de banda el otoño pasado después de que los investigadores descubrieran una falla de ejecución remota similar.
Afecta a Java en los navegadores web, no en el escritorio
Es importante recordar que las dos vulnerabilidades de ejecución remota de código corregidas en esta actualización son "aplicables solo a Java en navegadores web porque son explotables a través de applets de navegador maliciosos", escribió Eric Maurice, director de garantía de seguridad de software de Oracle en el Blog de seguridad de software de Oracle.. Si no accede regularmente a sitios web que ejecutan Java, entonces vale la pena deshabilitar el complemento de Java en su navegador. Aquí están las instrucciones paso a paso sobre cómo deshabilitar Java de Neil Rubenking de SecurityWatch.
Muchas aplicaciones de escritorio y juegos populares (¿Minecraft, alguien?) Usan Java, pero el cliente Java local no está bajo ataque.
"Estas vulnerabilidades no afectan a Java en servidores, aplicaciones de escritorio Java o Java incrustado", escribió Maurice.
