Una vulnerabilidad en la Máquina Virtual de Microsoft, encargada de
dar soporte a Java, permite a un atacante construir applets para
ejecutar código arbitrario de forma remota. Se recomienda a todos
los usuarios de Windows la actualización inmediata.

Todas las versiones de la Máquina Virtual de Microsoft anteriores
a la 3810 son vulnerables. Para comprobar la versión instalada
en nuestro sistema será necesario ejecutar el comando JVIEW en
una ventana DOS.

Desde el menú Inicio, opción Ejecutar, y teclear:

command (en el caso de Windows 95, 98, 98SE o Millenium)

o

cmd (en el caso de Windows NT, 2000 o XP)

Se abrirá una ventana con el símbolo de sistema, y tendremos que
introducir el comando "jview" (sin las comillas).

Nos mostrará varias líneas, los últimos 4 dígitos de la primera
línea nos indicará la versión de nuestra Máquina Virtual.

>>>

C:\>JVIEW
Cargador de línea de comandos de Microsoft (R) para Java Versión 4.79.2435
Copyright (C) Microsoft Corp 1996-2000. Todos los derechos reservados.

<<<

En este caso nuestra versión sería la 2435, inferior a la 3810 donde
se encuentra corregida la vulnerabilidad, y por tanto necesitaremos
actualizar de inmediato. Si al ejecutar el comando recibimos un error
indicando que ese programa no existe, es que no tendremos instalada
la Máquina Virtual.

Para proceder a la actualización automática basta con acceder al
servicio Windows Update, desde el menú de Inicio, o a través de la
dirección http://windowsupdate.microsoft.com, escoger "Buscar
actualizaciones" e instalar los items que aparezcan en
"Actualizaciones críticas y Service Packs", entre los que se
encontrará la corrección a la mencionada vulnerabilidad.

La vulnerabilidad se encuentra en un fallo del verificador de códigos
bytes en la implementación de Microsoft, una de las capas de
seguridad que contempla los applets de Java, encargado de validar
la seguridad de los applets a través de varias comprobaciones para
evitar situaciones potenciales de riesgo.

Este fallo permitiría a un atacante diseñar un applet de Java para
ejecutar código arbitrario en el sistema del usuario que lo
visualice, bien a través de una página web, bien haciéndolo llegar
a través de un e-mail. Microsoft considera la vulnerabilidad, y su
actualización, crítica, tanto por la repercusión en la seguridad
como por el ámbito de sistemas que abarca, ya que la Máquina Virtual
se distribuye junto a Internet Explorer y se encuentra presente
en prácticamente todos sus sistemas operativos Win32.