Como parte de su ya anunciado plan de incrementar la frecuencia de las actualizaciones de seguridad de Java, de una cada cuatro meses a una cada tres, Oracle ha lanzado el nuevo Java SE 7 Update 45 (7u45), que contiene 51 de los 127 parches de seguridad de su CPU (Critical Patch Update).
Cincuenta de esos parches afrontan vulnerabilidades que podían explotarse de forma remota sin autenticación, y 12 de ellos tienen el más alto índice de severidad posible, lo que significa que podían utilizarse para tomar el control total del sistema operativo subyacente.
De las 51 vulnerabilidades parcheadas en esta actualización de seguridad de Java, 40 afectan solo a los despliegues en el cliente, que incluyen el plug-in Java para el navegador web, tan frecuentemente atacado, y 8 afectan tanto a los despliegues en servidor como en cliente.
Estas vulnerabilidades pueden explotarse mediante aplicaciones Java Web Start o applets Java y, en el caso de las brechas que también afectan a los despliegues en servidor, enviando datos a las API de los componentes vulnerables.
Otras dos vulnerabilidades de Java que se han atajado con este lanzamiento afectan a los sitios que ejecutan la herramienta Javadoc como un servicio y que alojan la documentación de resultados. Esta herramienta Javadoc se utiliza para crear archivos de documentación HTML. La última vulnerabilidad afecta a la herramienta de análisis jhat.
Las otras 76 brechas de seguridad solucionadas con la actualización de Oracle están relacionadas con las siguientes familias de producto: Oracle Database, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle iLearning, Oracle industry Applications, Oracle FLEXCUBE, Oracle Primavera, Oracle y Sun Systems Products Suite, Oracle Linux y Virtualization y Oracle MySQL.
Además de Java 7 Update 45, Oracle también ha lanzado Java 6 Update 65 y Java 5 Update 55, con parches que solucionan vulnerabilidades en versiones anteriores. No obstante, Oracle ha discontinuado el soporte público de Java 5 y 6, por lo que estas nuevas actualizaciones de seguridad solo están disponibles para clientes con contratos de soporte ampliado.
Lucian Constantin, IDG News Service