Una vulnerabilidad crítica de día cero acaba de ser detectada en Java 6 (CVE-2013-2463).

Oracle es consciente de la brecha de seguridad, pero decidió no parchearlo porque Java 6 ya no tiene soporte para actualizaciones.

La vulnerabilidad fue descubierta primero por F-Secure Timo Hirvonen unos días después de las pruebas públicas de CVE-2013-2463.

Además, el investigador afirma que este error de día cero de Java se ha integrado en el kit de vulnerabilidades Neutrino.

Los expertos de Qualys advierten que esto garantiza una adopción generalizada.

"Todavía hay muchos usuarios que instalan Java 6 (un poco más del 50%), o sea que muchas organizaciones son vulnerables. Atribuimos esto a los bloqueos que las organizaciones experimentan cuando ejecutan aplicaciones de software que requieren el uso de Java 6", señaló Wolfgang Kandek, el director técnico de Qualys.

Se aconseja que los internautas actualicen sus instalaciones Java a la última revisión de la versión 7, que no se ve afectada por este problema. Los usuarios que no necesiten Java en sus tareas diarias deben desinstalar el software.

El experto en seguridad de Avira Sorin Mustaca detalló en un blog reciente "el triste estado de seguridad de Java".

Muscata cree que Oracle debería convertir el software en una herramienta de código abierto para abordar los actuales problemas de seguridad.

Otros expertos sostienen que esta podría no ser la mejor opción, considerando que ya hay versiones de código abierto de Java que no llevaron a ninguna mejora importante.

http://news.softpedia.es/Todos-los-usuarios-deben-actualizar-a-Java-7-por-una-vulnerabilidad-de-dia-cero-en-Java-6-378449.html