Recientemente, especialistas en análisis de vulnerabilidades revelaron múltiples fallas de seguridad en IBM Runtime Environment Java v8 Service Refresh 5 Fix Pack 41 y anteriores, empleado por los sistemas de software IBM Platform Symphony e IBM Spectrum Symphony. La compañía ya ha abordado las fallas de seguridad con sus respectivas actualizaciones.
Las fallas de seguridad corregidas se cuentan por decenas, aunque a continuación se muestra un listado con los errores destacables:
CVE-2019-2989
Se trata de una vulnerabilidad no especificada en Java SE cuya explotación podría permitir que un atacante no autenticado genere inconvenientes de confidencialidad, integridad y disponibilidad en el sistema. La falla recibió un puntaje de 6.8/10 en la escala del Common Vulnerability Scoring System (CVSS).
CVE-2019-2958
Esta es una falla no especificada en Java SE relacionada con el componente de bibliotecas que generaría impacto de confidencialidad, integridad, entre otras fallas. La falla recibió un puntaje CVSS de 5.9/10, mencionan los especialistas en análisis de vulnerabilidades.
CVE-2019-2975
Una vulnerabilidad no especificada en Java SE relacionada con el componente Scripting que podría permitir que un atacante no autenticado no cause un impacto de confidencialidad, un impacto de baja integridad y un impacto de baja disponibilidad del sistema objetivo. La falla fue puntuada con 4.8/10.
CVE-2019-2999
Por otra parte, esta vulnerabilidad en JavaSE se relaciona con el componente Javadoc, y su explotación permitiría que un actor de amenazas no autenticado genere diversos inconvenientes de seguridad y disponibilidad del sistema. La falla recibió un puntaje de 4.7/10 en la escala del CVSS.
CVE-2019-2992
Una vulnerabilidad no especificada en Java SE relacionada con el componente 2D podría permitir que un atacante no autenticado cause una denegación de servicio que resulte en un impacto de baja disponibilidad usando vectores de ataque desconocidos. El puntaje CVSS de esta vulnerabilidad es de 3.7/10.
CVE-2019-2988
Esta vulnerabilidad no especificada en JavaSE se relaciona con el componente 2D podría permitir que un atacante no autenticado genere una condición de denegación de servicio (DoS) en el sistema objetivo. La falla recibió un puntaje de 3.7/10 en la escala CVSS.
CVE-2019-2983
Esta falla no especificada en Java SE relacionada con el componente de serialización podría permitir que un atacante no autenticado cause una condición DoS en el sistema objetivo. El puntaje otorgado a esta falla es de 3.7/10.
Si bien no se han revelado mayores detalles técnicos sobre estas fallas de seguridad, los expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) pudieron corroborar que los componentes potencialmente afectados ya han sido actualizados, por lo que sólo queda que los administradores de sistemas actualicen a las versiones más recientes de sus implementaciones.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad