Oracle ha publicado una actualización crítica de seguridad para Java Standard Edition debido a una vulnerabilidad crítica descubierta recientemente en el popular complemento para el navegador.
Publicado fuera del ciclo habitual de actualizaciones de Java, que toca en el próximo mes de abril, el parche de Java aplica para Java SE 7 Update 97, y Java SE 8 Update 73 y 74 para los sistemas Windows, Solaris, Linux, y Mac OS X.
La vulnerabilidad es la CVE-2016-0636 y afecta a Java SE que se ejecuta en los navegadores web en computadoras desktop o de escritorio. No afecta a implementaciones de Java en sistemas de servidor o en aplicaciones independientes de escritorio, que carguen y ejecuten sólo código de confianza. Tampoco afecta a software de Oracle basado en servidor.
La vulnerabilidad puede ser explotada de forma remota y sin autenticación. Es decir, el atacante puede explotar el fallo crítico de Java a través de una red sin la necesidad de un nombre de usuario y contraseña. La explotación exitosa de la vulnerabilidad puede afectar la disponibilidad, integridad y la confidencialidad del sistema del usuario.
Debido a la gravedad de esta vulnerabilidad y a que ya han sido divulgados sus detalles técnicos, es recomendable que el usuario actualice Java SE tan pronto como sea posible. Es seguro que el código de explotación de la vulnerabilidad sea parte de paquetes de exploits para su explotación silenciosa y automática. También que sea utilizada en mensajes spam para inducir la visita a una página web maliciosa que aproveche la vulnerabilidad.
La nueva versión de Java SE es la 8 Update 77. Es recomendable descargarla desde el sitio oficial de actualizaciones de Java o aplicar la actualización automática provista por Java si así se ha configurado. Desinstalar las versiones anteriores de Java.
El parche de seguridad es acumulativo, incluye todas las correcciones realizadas desde la CPU publicada en enero de este año y en otras alertas de seguridad.