-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 11/07/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Actualización de Sun Java por múltiples problemas de seguridad
--------------------------------------------------------------

Sun Microsystems ha publicado actualizaciones para Java que solventan
múltiples vulnerabilidades en el Java Runtime Environment (JRE) y Java Development Kit (JDK) que podrían permitir a un atacante remoto elevar privilegios, efectuar una denegación de servicio y potencialmente
ejecutar código arbitrario. Sun ha lanzado un total de ocho boletines de seguridad en los que se dan a conocer las siguientes vulnerabilidades:

* Un fallo en el procesamiento XML podría permitir acceder a ciertos
recursos URL no especificados y potencialmente denegar el servicio en la máquina que este ejecutando el JRE. Afecta a JRE y JDK 6 Update 6 y
anteriores.

* Existe otro fallo en JRE al procesar XML que podría permitir que una aplicación o applet no confiable tuviera acceso a ciertos recursos URL,
tales como archivos o páginas web. Afecta a JRE y JDK 6 Update 6 y
anteriores; JRE y JDK 5.0 Update 15 y anteriores.

* Un desbordamiento de la memoria intermedia en el procesamiento de
fuentes del JRE podría permitir a un applet o aplicación sin autenticar
leer y escribir archivos locales y potencialmente ejecutar aplicaciones
que estén accesibles. Afecta a JRE y JDK 5.0 Update 9 y anteriores; JRE
y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.

* Una vulnerabilidad no especificada en el soporte de lenguajes de
scripting del JRE podría permitir a un applet o aplicación sin
autenticar elevar privilegios. Afecta a JRE y JDK 6 Update 6 y
anteriores.

* Un fallo en el agente JMX del JRE podría permitir a un agente JMX
remoto ejecutar operaciones no autorizadas en un sistema con la opción
de monitorización local JMX activada. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores.

* Una vulnerabilidad no especificada en la máquina virtual del JRE
podría permitir a un applet o aplicación sin autenticar leer y escribir archivos locales y potencialmente ejecutar aplicaciones que estén
accesibles. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0
Update 15 y anteriores / SDK y JRE 1.4.2_17 y anteriores).

* Varios fallos de seguridad no especificados en el JRE podrían permitir
a un applet o aplicación remota especialmente manipulada saltar
restricciones de seguridad y acceder a recursos de la red con los
privilegios de un applet o aplicación que hubiese sido descargada y
ejecutada en una máquina local. Afecta a JRE y JDK 6 Update 6 y
anteriores; JRE y JDK 5.0 Update 9 y anteriores; JRE y SDK 1.4.2_17 y anteriores; JRE y SDK 1.3.1_22 y anteriores.

* Un desbordamiento de la memoria intermedia en Java Web Start podría
permitir a una aplicación Java Web Start elevar privilegios a través de vectores no especificados. Afecta a JRE y JDK 6 Update 3 y anteriores;
JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

* Una vulnerabilidad no especificada en Java Web Start podría permitir a
una aplicación Java Web Start crear archivos arbitrariamente con los
permisos del usuario que la ejecute. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

* Una vulnerabilidad no especificada en Java Web Start podría permitir a
una aplicación Java Web Start crear o borrar archivos arbitrariamente
con los permisos del usuario que la ejecute. Afecta a JRE y JDK 5.0
Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

* Una vulnerabilidad no especificada en Java Web Start podría permitir a
una aplicación Java Web Start determinar la ruta donde se encuentra la
cache de Java Web Start. Afecta a JRE y JDK 6 Update 6 y anteriores; JRE
y JDK 5.0 Update 15 y anteriores; JRE y SDK 1.4.2_17 y anteriores.

*La última vulnerabilidad está causada por un defecto en la
implementación de Secure Static Versioning que podría permitir que
ciertos applets se ejecutaran en una versión antigua de JRE a pesar de
tener instalada una versión más reciente.

Es recomendable desinstalar de forma manual las versiones antiguas de
Java, debido a que esto no se realiza de forma automática durante el
proceso de instalación de una nueva versión.

Según versión y plataforma, se recomienda instalar las siguientes
versiones no vulnerables:

JDK y JRE 6 Update 7:
http://java.sun.com/javase/downloads/index.jsp

JDK y JRE 5.0 Update 16:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK y J2SE 1.4.2_18:
http://java.sun.com/j2se/1.4.2/download.html

SDK y J2SE 1.3.1_23:
http://java.sun.com/j2se/1.3/download.html

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3548/comentar

Más información

Security Vulnerabilities in the Java Runtime Environment related to the processing of XML Data http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1

A Security Vulnerability with the processing of fonts in the Java Runtime Environment may allow Elevation of Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1

Security Vulnerabilities in the Java Runtime Environment Scripting Language Support
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1

Security Vulnerability in Java Management Extensions (JMX) http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1

Security Vulnerability in the Java Runtime Environment Virtual Machine may allow an untrusted Application or Applet to Elevate Privileges http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1

Security Vulnerabilities in the Java Runtime Environment may allow Same Origin Policy to be Bypassed http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1

Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1

Security Vulnerability in JDK/JRE Secure Static Versioning http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1


Pablo Molina
pmolina@hispasec.com


Tal día como hoy:
-----------------

11/07/2007: Nueva imagen para VirusTotal.com
http://www.hispasec.com/unaaldia/3182

11/07/2006: Siete boletines de seguridad de Microsoft en julio
http://www.hispasec.com/unaaldia/2817

11/07/2005: Exploits a partir de ingeniería inversa de parches
http://www.hispasec.com/unaaldia/2452

11/07/2004: Fallo de restricción de acceso a 'shell:' en MSN Messenger y Word
http://www.hispasec.com/unaaldia/2086

11/07/2003: La APD española advierte de un intento de fraude
http://www.hispasec.com/unaaldia/1720

11/07/2002: VII Reunión Española sobre Criptología y Seguridad de la Información
http://www.hispasec.com/unaaldia/1355

11/07/2001: Vulnerabilidad en FireWall-1 con paquetes RDP falseados
http://www.hispasec.com/unaaldia/990

11/07/2000: Los datos de "Gran Hermano" al descubierto
http://www.hispasec.com/unaaldia/624

11/07/1999: HispaSec analiza Back Orifice 2000
http://www.hispasec.com/unaaldia/258


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)