Como se anticipaba la semana pasada, Oracle ha publicado de emergencia el parche de seguridad para dos vulnerabilidades en Java 7 en el navegador. Una de estas vulnerabilidades (la CVE-2013-1493) está siendo explotada por atacantes en Internet para instalar malware (McRat) en los equipos vulnerables.
Estos ataques obligaron a Oracle a no tener que esperar hasta abril, fecha programada para la publicación de los parches de seguridad de Java, publicando las correcciones de Java en lo que se conoce como Java 7u17.
La actualización de seguridad publicada hoy por Oracle resuelve la vulnerabilidad activamente explotada en Internet y otra relacionada. Las vulnerabilidades podrían ser explotables de forma remota sin autenticación; es decir, sin la necesidad de proporcionar un nombre de usuario y contraseña. Para que el exploit tenga éxito, el usuario con la versión vulnerable de Java debe visitar una página web maliciosa que aproveche la vulnerabilidad, poniendo en riesgo la disponibilidad, integridad y confidencialidad del sistema.
Las vulnerabilidades resueltas por el parche de Oracle no aplican para Java en servidores, aplicaciones de escritorio Java independentes ni en aplicaciones Java incrustradas.
Es recomendable aplicar la actualización de seguridad Java 7u17 de inmediato.