[ComputerWorld] 'Oracle corrige fallos en Java' [que están siendo aprovechados para instalar malware en PCs]

[Computerworld 14/01] 'Las vulnerabilidades corregidas con esta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174. Estas vulnerabilidades, que sólo afectan a Oracle Java 7 versiones, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS. Oracle recomienda que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados "in the wild", y algunos exploits están disponibles en varias herramientas de hacking.



Las condiciones exploit para esta vulnerabilidad son los mismos. Para ser explotado con éxito, un atacante debe engañar a un usuario confiado que consulta una página web maliciosa. La ejecución del applet malicioso en el navegador de los usuarios desprevenidos a continuación, permite al atacante ejecutar código arbitrario en el sistema vulnerable. Estas vulnerabilidades son aplicables sólo a Java en los navegadores web, ya que son explotables a través de applets maliciosos en tu navegador.'

Fuente y noticia completa: Computerworld 14/012013