Una vulnerabilidad en la máquina virtual de Java de Sun (JVM
por Java Virtual Machine), permite la ejecución arbitraria de
código.
Un atacante puede sacar provecho de este problema para
ejecutar código malicioso en el equipo vulnerable, con solo
convencer al usuario para que visite un sitio web con
contenido Java, especialmente modificado.
El fallo se produce durante la interpretación de componentes
de imágenes en formato GIF.
Cuando se asigna un valor de cero al ancho de un bloque de
imagen de un archivo GIF válido, la máquina virtual reserva
el espacio especificado para la imagen, pero copia todo el
archivo de datos del código Java en la memoria asignada.
Esto da como resultado la sobrescritura de múltiples
punteros, lo que corrompe la secuencia de ejecución de
instrucciones del procesador, pudiendo esto ser utilizado
para ejecutar código de forma arbitraria.
Son afectadas las siguientes versiones de Java (Windows,
Solaris y Linux):
- JDK 5.0 Update 9 y anteriores
- SDK 1.3.1_18 y anteriores
- SDK 1.4.2_12 y anteriores
- JRE 1.3.1_18 y anteriores
- JRE 1.4.2_12 y anteriores
- JRE 5.0 Update 9 y anteriores
La solución es actualizarse a las siguientes versiones:
- JDK 5.0 Update 10 o superior
- SDK 1.3.1_19 o superior
- SDK 1.4.2_13 o superior
- JRE 1.3.1_19 o superior
- JRE 1.4.2_13 o superior
- JRE 5.0 Update 10 o superior
NOTA: Los usuarios deben instalar la versión correspondiente
de JRE (Java Runtime Environment o Entorno de Tiempo de
Ejecución Java de Sun) desde el siguiente enlace:
http://www.java.com/es/download/manual.jsp
Se recomienda desinstalar versiones anteriores instaladas.
Más información sobre esto en el siguiente enlace:
Sun Java pone en riesgo la seguridad de nuestro PC
http://www.vsantivirus.com/java-sun-030905.htm
* Relacionados:
Sun Alert ID: 102760
www.sunsolve.sun.com/search/document.do?assetkey=1-26-102760-1
ZDI-07-005
Sun Microsystems Java GIF File Parsing Memory Corruption
Vulnerability
www.zerodayinitiative.com/advisories/ZDI-07-005.html
(c) Video Soft -
http://www.videosoft.net.uy
(c) VSAntivirus -
http://www.vsantivirus.com
saludos
Verónica B.
Leer las respuestas