Oracle ha adelantado una actualización de Java programada para el 19 de febrero debido a ola de ataques activos.
Oracle distribuyó el viernes 1° de febrero una nueva actualización de seguridad para Java SE (Standard Edition), que elimina 50 vulnerabilidades del software.
El plan de la empresa era publicar la actualización del 19 de febrero, pero Oracle informa en esta página que el proceso fue adelantado https://blogs.oracle.com/security/entry/february_2013_critical_patch_update debido a que una de las 50 vulnerabilidades ya está haciendo utilizada en ataques activos.
Cuarenta y cuatro de las 50 vulnerabilidades sólo afectan instalaciones a nivel del cliente de Java y no es posible utilizarlas de otra forma que no sea mediante aplicaciones Java web o applets Java. Según se indica, una vulnerabilidad estaría asociada al proceso de instalación del cliente de Java.
Tres vulnerabilidades afectan a las instalaciones a nivel del cliente y servidor, y es posible utilizarlas ya sea mediante Java Web Start y applets en el navegador, o agregando datos especiales a las instalaciones en servidores mediante el interfaz de programación. Es preciso señalar que algunas de las vulnerabilidades relacionadas con la instalación en servidores sólo puede ser aprovechada en el contexto de configuraciones muy específicas, es decir, infrecuentes.
En esta oportunidad, las dos últimas vulnerabilidades están vinculadas a la extensión para servidores Java Secure Socket Extension (JSSE).
Oracle utiliza una clasificación de vulnerabilidades, donde 10,0 es la mayor y más grave. Veintiseis de las vulnerabilidades solucionadas con la nueva actualización -de las cuales tres también afectan instalaciones en servidores- han obtenido esta puntuación por parte de Oracle.
En esta página http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html , Oracle publica información detallada sobre las vulnerabilidades que ahora son eliminadas.
La versión actualizada es denominada Java 7 Update 13, con el número de versión 1.7.0_13. La versión anterior era denominada Java 7 Update 11. No está del todo claro que ocurrió con la 12° actualización.
La nueva versión de Java puede ser descargada desde Java.com o mediante el control de panel el panel de control de Java.