Sun ha publicado una nueva versión de Java, la cuál afirma solucionar 370 errores, muchos de ellos relacionados con la seguridad. Una de las vulnerabilidades más importantes está relacionada con el intérprete XML de Sun Java Runtime Environment (JRE), que puede permitir el acceso a recursos URL, o sea a la ubicación de cualquier archivo, directorio o equipo.

Java Runtime Environment (JRE) permite que por defecto, una referencia a una entidad externa (entity reference) sea procesada, esto por lo general es un archivo XML externo.

Para impedir el proceso a una entidad externa, los sitios pueden marcar una propiedad llamada "external general entities" como FALSE.

La vulnerabilidad permite que JRE procese las referencias externas, incluso si se ha configurado para que ello no ocurra. Un sitio malicioso puede aprovecharse de esto para lanzar otros tipos de ataques, o para causar una condición de denegación de servicio.

Para que la vulnerabilidad pueda ser explotada, una aplicación de confianza debe procesar los datos del XML que contiene el contenido malicioso. La vulnerabilidad no puede ser explotada por un applet no confiable, ni por una aplicación que utilice Java Web Start, si la misma no está marcada como de confianza.

Java Web Start es un componente del entorno de ejecución de Java (JRE o Java Runtime Environment), que permite descargar y ejecutar aplicaciones Java desde la Web.

El problema fue reportado por Chris Evans y Johannes Henkel del equipo de seguridad de Google.

Son vulnerables JDK y JRE 6 Update 3 y anteriores. No son afectados JDK y JRE 5.0, ni SDK y JRE 1.4.x y 1.3.x.

Para determinar la versión de Java instalada en su sistema Windows, abra una ventana de línea de comandos o símbolo de sistema y escriba la siguiente orden:
java -version

Solución:

Actualizarse a la versión más reciente de Sun Java desde el siguiente enlace:

http://java.sun.com/javase/downloads/index.jsp

NOTA: La versión en español se puede descargar desde el siguiente enlace, pero al momento de esta alerta, aún no está disponible:

http://www.java.com/es/download/manual.jsp

Para la mayoría de los usuarios domésticos, se instalará la versión 6 Update 4. Muchos usuarios de Windows, tienen alguna versión de Java instalada en su equipo. Debido a la gran cantidad de malware existente que intenta aprovecharse de agujeros de seguridad en este lenguaje, es aconsejable actualizarse a la misma a la brevedad.

Es importante recordar que luego de instalar esta versión, se deben desinstalar desde Agregar o quitar programas, todas las versiones anteriores de Java, ya que las mismas no son desinstaladas por defecto.

Sun Java pone en riesgo la seguridad de nuestro PC
http://www.vsantivirus.com/java-sun-030905.htm

Hay actualizaciones para Windows, Linux y Solaris.


Versiones NO vulnerables:
- JDK y JRE 6 Update 4 o posterior

Fuente

arag