Una vulnerabilidad en Java 6 está siendo explotada en Internet. La alerta del ataque activo fue originada por el analista de seguridad de F-Secure Timo Hirvonen al revelar sobre una prueba de concepto del código de ataque para la vulnerabilidad, catalogada bajo la clave CVE-2013-2463.
Java es un complemento para el navegador y en el caso de Java 6 es utilizado por más de la mitad de los usuarios de Internet.
La vulnerabilidad se encuentra en el componente Java Runtime Environment (JRE) y podría permitir la ejecución de código remoto en el contexto del usuario, para afectar la confidencialidad, integridad y disponibilidad.
PoC for CVE-2013-2463 was released last week, now it’s exploited in the wild. No patch for JRE6… Uninstall or upgrade to JRE7 update 25.
— Timo Hirvonen (@TimoHirvonen) August 26, 2013
Parece que el código que explota la vulnerabilidad ha sido incluido en Neutrino, un kit de explotación de vulnerabilidades.
La opción es actualizar a Java 7u25 o desinstalar Java 6. La vulnerabilidad ya ha sido corregida pero como Java 6 no tiene soporte para actualizaciones, Oracle incorporó el parche en Java 7u25. Los usuarios que aún sigan utilizando Java 6 deben pensar en actualizar a Java 7u25 o desinstalar Java 6 para protegerse de los ataques activos en Internet.