Salto de restricciones a través del analizador sintáctico de XML en
JRE y JDK 6.x
-------------------------------------------------------------------

Se ha encontrado una vulnerabilidad en Sun JRE y JDK que podría ser
aprovechada por un atacante para saltarse restricciones de seguridad,
permitiéndole el acceso a los recursos URL.

El problema está causado por un defecto en JRE que podría permitir que
referencias a entidades externas fueran procesadas, incluso cuando la
propiedad "external general entities" está puesta a falso. Esto podría
ser aprovechado por un atacante remoto para acceder a recursos URL o
para causar una denegación de servicio en el sistema que ejecuta JRE.

Para que la vulnerabilidad pueda ser explotada, se requiere que una
aplicación confiable procese datos XML con contenido malicioso. La
vulnerabilidad no puede ser explotada a través de applets no confiables
o aplicaciones Java Web Start.

Se ha publicado un parche oficial. Según versión y plataforma las
actualizaciones se encuentran disponibles desde:

JDK y JRE 6 Update 4 está disponible desde:
http://java.sun.com/javase/downloads/index.jsp

JDK 6 Update 4 para Solaris está disponible en los siguientes parches:
Java SE 6 update 4 (disponible en el parche 125136-05 o superior)
http://sunsolve.sun.com/search/docum...21-125136-05-1
Java SE 6 update 4 (disponible en el parche 125137-05 o superior
(64bit))
http://sunsolve.sun.com/search/docum...21-125137-05-1
Java SE 6 x86 update 4 (disponible en el parche 125138-05 o superior)
http://sunsolve.sun.com/search/docum...21-125138-05-1
Java SE 6 x86 update 4 (disponible en el parche 125139-05 o superior
(64bit))
http://sunsolve.sun.com/search/docum...21-125139-05-1