martes
mar052013
Disponible jdk1.7.0_17 y jdk1.6.0_43
El pasado 1 de marzo se anunció otra vulnerabilidad "0-day" en el JRE que afecta a la última versión de la plataforma (1.7.0_15). Este último problema aparentemente estaba mas severo porque permitía cargar un troyano de un servidor remoto. El problema afectaba solamente al plug-in, las aplicaciones desktop o server no estaban afectadas.
Oracle ha reaccionado rápido, y ya ha publicado el JDK/JRE 1.7.0_17 y 1.6.0_43, que resuelve los problemas de seguridad encontrados recientemente. El reporte original se puede encontrar aquí. La alerta puede ser consultada aquí.
Reader Comments (8)
Que alucine con lo del jdk1.6.0_43; en teoría Java 6 hace un par de semanas que llegó a su EOL y ya no iba a haber más actualizaciones públicas… se ve que no podido mantener esto por la patética situación de seguridad de la plataforma.
¿Alguien puede confirmar si el problema de seguridad está relacionado sólo con Applets? ¿O es algo más general?
¿Estas nuevas versiones corrigen algo o sigue Oracle con la lengua fuera detrás de la liebre? Además, probablemente, haya nuevos ataques.... a ver cómo evoluciona este tema.
"These vulnerabilities are not applicable to Java running on servers, standalone Java desktop applications or embedded Java applications".
"Desktop users should also be aware that Oracle has recently switched Java security settings to “high” by default. This high security setting results in requiring users to expressly authorize the execution of applets which are either unsigned or are self-signed. As a result, unsuspecting users visiting malicious web sites will be notified before an applet is run and will gain the ability to deny the execution of the potentially malicious applet. In order to protect themselves, desktop users should only allow the execution of applets when they expect such applets and trust their origin."
Yo no ví por ningún lado la versión 16 de Java 7, alguien sabe si se la volvieron a saltar o es que sacaron ambas updates rápido ??
Muchas gracias @choces
Está establecido que las versiones impares del JDK son del tipo "Security Patch" y las versiones pares son las que introducen mejoras y arreglos de cosas que no funcionen bien pero que no supongan un problema de seguridad. De modo que la versión 16 simplemente no ha llegado a existir.
Gracias @zx81, no conocía eso que comentas.
Gracias @zx81