Sun Microsystems ha lanzado una nueva versión de Java Runtime Environment (también conocido como JRE). En Sun se conoce internamente por el número 1.6.0.15 aunque de cara al consumidor externo su referencia es 6u15. Este software le permite a nuestro PC correr un tipo de programas denominados “applets”, que están escritos en el lenguaje de programación Java y que son multiplataforma al poder ejecutarse en cualquier sistema operativo que tenga instalado el entorno de Java.

Los applets permiten tener una experiencia online mucho más rica que el simple interactuar con las estáticas páginas HTML, aunque existen algunos que funcionan como simples e independientes programas de escritorio.

Para que te hagas una idea de la importancia de JRE, te sorprendería la cantidad de aplicaciones web y de escritorio que usan este lenguaje y, por consiguiente, requieren tener como mínimo el entorno de Java instalado en el PC. Si quieres actualizarte , puedes hacerlo acudiendo a su correspondiente descarga en el directorio de Malavida.com.

La pasada semana Apple lanzó una de sus macro-actualizaciones renovando Leopard hasta la versión 10.5.7, corrigiendo varios bugs, renovando características de varios programas y resolviendo más de 67 fallos de seguridad que habían sido descubiertos en los últimos meses, pero al equipo de desarrollo de Cupertino se le ha olvidado reparar un grave fallo de seguridad en Java Runtime Enviroment. Este fallo, encontrado en agosto de 2008 por Sami Koivu, no fue corregido hasta finales de aquel año para otras otras plataformas y se ha vuelto dejar de lado tras esta actualización. El fallo tiene origen en java.util.Calendar y permite, mediante un applet manipulado de cualquier web que visitemos, ejecutar código externo. Esta noticia nos lleva a la pregunta de si Mac OSX se preocupa por la seguridad de sus sistemas, ya que no es la primera vez que Apple deja a sus usuarios sin una solución tras haberse encontrado un fallo grave de seguridad. Hasta que no exista opción de corregir este error, se recomienda a los usuarios que desactiven JRE (Java Runtime Enviroment) de sus Macs.
Fuente: Hispasec

La empresa norteamericana Bit9, dedicada al desarrollo y comercialización de software para vigilancia informática de empleados, ha desarrollado una lista con los programas mas vulnerables, en cuanto a seguridad se refiere. Para elaborar esta lista sólo se han tenido en cuenta los programas que han sido actualizados después del 1 de Enero de 2008, que corren bajo el sistema operativo Windows, que no son considerados malware, que no forman parte del S.O. y que están dados de alta en el instituto nacional de Standards de los Estados Unidos. Han sido considerados la popularidad del software, el número y la gravedad de los bugs, además de la dificultad de detección y parcheo las vulnerabilidades.
Las cinco primeras de la lista son las siguientes:

• 1. Mozilla Firefox 2.x y 3.x
• 2. Adobe Acrobat Reader 8.1.2 y 8.1.1
• 3. Microsoft Windows Live Messenger 4.7 y 5.1
• 4. Apple iTunes
• 5. Skype 3.5.0.248

Además de estos también aparecen Adobe Flash Player 9.x, QuickTime, Safari, varios productos de Norton o Sun Java Runtime Environment.

Personalmente me ha sorprendido mucho la lista de programas que aparecen en la lista, dado que muchos de ellos son parte del equipo básico para navegar por la red y que yo mismo utilizo a diario; pero también creo que son programas freeware y que se renuevan constantemente, por lo tanto es lógico que puedan detectarse fallos de seguridad en ellos. También me gustaría saber que ocurriría si se le hiciera la misma prueba a otros programas sin licencia freeware y que resultan ser igual de populares, o más, que muchos de los de la lista, o si el problema reside en Windows, que resulta ser el sistema operativo donde se han realizado todas las pruebas y al cual últimamente se le han descubierto varios fallos graves.
Fuente: Techweb

Ya están disponibles las últimas actualizaciones para Java Runtime Environment (JRE) y Java Development Kit (JDK), que corrigen los fallos de seguridad que permitían que un atacante remoto pudiera acceder a nuestro sistema y ejecutar códigos arbitrarios. Estos son algunos puntos que han sido mejorados:

• Ha sido corregido el sistema de archivos temporales. Anteriormente, estos se generaban con nombres aleatorios que podían predecirse, pudiendo así colar archivos .jar como applets de confianza y completar acciones restringidas en nuestro sistema.
• La denegación de servicios provocada por un fallo en JRE ha sido arreglada.
• También han sido arreglados los problemas de desbordamiento de búfer al ejecutar imágenes .gif, evitando ser atacado remotamente mediante aplicaciones Java.
• Los bugs de Java Web Start y de los plug-ins Java también han sido reparados.
• Debido a una mala ejecución de archivos .zip se podía tener acceso a direcciones arbitrarias de memoria desde un sitio remoto. Este error también ha sido corregido.

Desde Sun Microsystems recomiendan la actualización inmediata de la máquina virtual evitando así cualquier problema de seguridad.