Apple vuelve a publicar actualizaciones de Java 6 con un nuevo paquete, en su ya conocido como año negro en torno a vulnerabilidades. El año empezó con el famoso Java 7 update 10, CVE-2013-0422, un 0-day que era explotable fácilmente desde Metasploit framework. Poco después salió Java 7 update 11, el cual cuando fue liberado ya contaba de algunos bugs conocidos. Apple ha intentado evitar otro caso FlashBack Trojan, por lo que se apresuró a parchear sus sistemas lanzando sus actualizaciones, pero tal y como se puede comprobar una nueva actualización pone en duda la seguridad de Java en entornos Mac OS X.El impacto que producen estas vulnerabilidades es crítico en alguna de ellas, ya que pueden permitir a un applet no seguro ejecutar código arbitrario fuera de la sandbox que proporciona Java. La técnica consiste en que un usuario malicioso colocará en un sitio web un applet no seguro, preparado para ejecutar código arbitrario o shellcode con el fin de tomar el control de la máquina o distribuir malware. Por lo que, un usuario con Java no actualizado, visitando dicha página la máquina del usuario puede ser explotada y troyanizada. El usuario malicioso dispondrá del mismo nivel de privilegios que el usuario que ejecuta Java, por lo que no existe una escalada de privilegios directa, pero si se podría dar a posteriori.
 |
| Figura 1: Actualizaciones de Java 6 para Mac OS X |
La actualización de Java 6 for Mac OS X 10.6 update 16 y Java 6 for OS X 2013-004 puede obtenerse desde la aplicación de Software Update en preferencias del sistema, Mac App Store o visitando las URLs:
- Java 6 for OS X (Lion & Mountain Lion) 2013-004
- Java 6 for Mac OS X Snow Leopard 10.6 Update 16
Os recordamos que Oracle ya publicó la actualización de Java 7 para OS X.
No hay comentarios:
Publicar un comentario