La pasada semana Apple lanzó una de sus macro-actualizaciones renovando Leopard hasta la versión 10.5.7, corrigiendo varios bugs, renovando características de varios programas y resolviendo más de 67 fallos de seguridad que habían sido descubiertos en los últimos meses, pero al equipo de desarrollo de Cupertino se le ha olvidado reparar un grave fallo de seguridad en Java Runtime Enviroment. Este fallo, encontrado en agosto de 2008 por Sami Koivu, no fue corregido hasta finales de aquel año para otras otras plataformas y se ha vuelto dejar de lado tras esta actualización. El fallo tiene origen en java.util.Calendar y permite, mediante un applet manipulado de cualquier web que visitemos, ejecutar código externo. Esta noticia nos lleva a la pregunta de si Mac OSX se preocupa por la seguridad de sus sistemas, ya que no es la primera vez que Apple deja a sus usuarios sin una solución tras haberse encontrado un fallo grave de seguridad. Hasta que no exista opción de corregir este error, se recomienda a los usuarios que desactiven JRE (Java Runtime Enviroment) de sus Macs.
Fuente: Hispasec

Ya están disponibles las últimas actualizaciones para Java Runtime Environment (JRE) y Java Development Kit (JDK), que corrigen los fallos de seguridad que permitían que un atacante remoto pudiera acceder a nuestro sistema y ejecutar códigos arbitrarios. Estos son algunos puntos que han sido mejorados:

• Ha sido corregido el sistema de archivos temporales. Anteriormente, estos se generaban con nombres aleatorios que podían predecirse, pudiendo así colar archivos .jar como applets de confianza y completar acciones restringidas en nuestro sistema.
• La denegación de servicios provocada por un fallo en JRE ha sido arreglada.
• También han sido arreglados los problemas de desbordamiento de búfer al ejecutar imágenes .gif, evitando ser atacado remotamente mediante aplicaciones Java.
• Los bugs de Java Web Start y de los plug-ins Java también han sido reparados.
• Debido a una mala ejecución de archivos .zip se podía tener acceso a direcciones arbitrarias de memoria desde un sitio remoto. Este error también ha sido corregido.

Desde Sun Microsystems recomiendan la actualización inmediata de la máquina virtual evitando así cualquier problema de seguridad.