Errores detectados:

CVE-2009-2409:

Dan Kaminsky descubrió que los certificados SSL firmados con MD2 pueden ser visualizados con suficiente tiempo.  Como resultado un atacante puede crear un certificado valido malicioso para impersonar otro sitio.  Esta actualización resuelve el problema deshabilitando por completo la validación con certificados MD2.

CVE-2009-3728:

Fue descubierto que los perfiles ICC pueden ser identificados con una ruta con "..".  Si un usuario es engañado en ejecutar un applet especialmente diseñado, un atacante podría ganar información acerca del sistema local.

CVE-2009-3869, CVE-2009-3871:

Peter Vreugdenhil descubrió fallos en el procesamiento de gráficos en la biblioteca AWT.  Si un usuario es engañado en ejecutar un applet especialmente diseñado, un atacante remoto podría colgar la aplicación o ejecutar código en forma arbitraría con los privilegios del usuario.

CVE-2009-3873, CVE-2009-3874, CVE-2009-3885:

Múltiples fallas fueron encontraras en el manejador de imágenes JPEG y BPM.  Si un usuario es engañado en cargar una imagen especialmente diseñada, un atacante remoto puede colgar la aplicación o ejecutar código en forma arbitraría con los privilegios del usuario.

CVE-2009-3875:

Coda Hale descubrio que la firmas basadas en HMAC no son validadas correctamente.  Un atacante remoto puede saltear algunos formularios de autentificación y ganar accesos inesperados.

CVE-2009-3876, CVE-2009-3877:

Múltiples fallas fueron encontradas en el interprete ASN.1.  Un atacante remoto puede enviar un stream HTTP especialmente diseñado que podría causar el agotamiento de memoria generando una negación de servicio.

CVE-2009-3879:

Fue descubierto que la configuración del subsistema gráfico no maneja correctamente vectores.  Si un usuario es engañado en ejecutar un applet especialmente diseñado, un atacante remoto puede aprovechar esta vulnerabilidad para colgar la aplicación o ejecutar código en forma arbitraría con los privilegios del usuario.

CVE-2009-3880, CVE-2009-3882, CVE-2009-3883:

Fue descubierto que Swing y el software de registro ('loggers') no manejan correctamente algunos objetos sensibles.  Si un usuario es engañado en ejecutar un applet especialmente diseñado, información privada puede ser filtrada a un atacante remoto, generando una pérdida de privacidad.

CVE-2009-3881:

Fue descubierto que ClassLoader no maneja correctamente algunas opciones.  Si un usuario es engañado en ejecutar un applet especialmente diseñado, un atacante remoto puede ejecutar código en forma arbitraria con los privilegios del usuario.

CVE-2009-3884:

Fue descubierto que el archivo de zona horaria puede ser utilizado para determinar la existencia de archivos en el sistema local.  Si un usuario es engañado en ejecutar un applet especialmente diseñado, información privada puede ser filtrada a un atacante remoto, generando una pérdida de privacidad.

Versiones afectadas:

• Ubuntu 8.10
• Ubuntu 9.04
• Ubuntu 9.10

Este aviso también aplica para versiones Kubuntu, Edubuntu, and Xubuntu.

Solución:

El problema puede ser corregido actualizando el sistema a la siguiente versión de paquete:

• Ubuntu 8.10:
  
  • icedtea6-plugin 6b12-0ubuntu6.6
  • openjdk-6-jre 6b12-0ubuntu6.6
• Ubuntu 9.04:
  
  • icedtea6-plugin 6b14-1.4.1-0ubuntu12
  • openjdk-6-jre 6b14-1.4.1-0ubuntu12
• Ubuntu 9.10:
  
  • icedtea6-plugin 6b16-1.6.1-3ubuntu1
  • openjdk-6-jre 6b16-1.6.1-3ubuntu1

En general la actualización del sistema es suficiente para solucionar este problema.