martes
ago282012
Nuevo problema de seguridad en Java 7
antoniovl[Actualización 2012-08-30: Acabo de ver disponible en la página de Oracle el jdk7-u7 que corrige los errores comentados]
Recién se acaba de publicar que ha sido descubierto un nuevo fallo en Java 7. Se trata de una vulnerabilidad tipo "zero-day" (toman al usuario desprevenido por ser un fallo aún desconocido).
Según se menciona en la entrada en slashdot.org, las actualizaciones de Java ocurren en períodos aproximados de 2.5 meses (cuarto de año), y el próximo update está programado para octubre. En esta perspectiva, un grupo de expertos aparentemente está liberando un parche no oficial.
Esperemos que estos problemas no repercutan severamente en la credibilidad de la plataforma, la cual ya ha estado en tema de discusión.
Reader Comments (11)
Antonio, gracias por la información.
Como dices, esperemos que este tipo de problemas no sean comunes en la versión 7, en la que además se ha trabajado mucho para dotarla de mayor seguridad, ya que las vulnerabilidades restan credibilidad y adopción a los productos.
Da igual todo lo que se esfuerce Oracle, compañero. Sin actualizaciones automáticas los hacker tienen claro que siempre habrá mucha gente que no se actualice y que Java es un buen vector de ataque. Y mientras ellos sigan atacando, como siempre, seguirán encontrando agujeros. Lo que hay que hacer es ponerle una fecha de caducidad corta a los agujeros, a través de las actualizaciones automáticas.
@peyrona
Maestro, vamos a esperar para ver en cuanto tiempo publican el parche oficial. Si lo publican hasta octubre, entonces sí estamos fritos.
De los fallos jamás estaremos a salvo. El problema estará en el tiempo de reacción o en el uso del mecanismo de auto-actualización, como ya ha señalado Abraham.
Es probable que al estar Oracle (empresa corporativista) detrás de Java, si no se gana al público más rebelde, esté más expuesto a ataques. Veamos como reacciona. Me gustaría conocer quién realiza estos ataques y con que fin: posiblemente, es un reto, el atacar a un lenguaje tan conocido, por un lado. Por otro lado puede ser un buen aliciente para mejorar la seguridad, pero si se extende a aplicaciones empresariales, vamos a tener un problema más sensible. Espero que se solucionen los problemas en casa y espero que Oracle sea capaz de ganarse al público, especialmente los rebeldes.
Según he leído, el ataque viene de China. Y es especialmente sensible en caso de utilización de la JRE en las páginas de internet.
Es más, empresas de seguridad como Kaspersky hablan de que es mejor desinstalar Java y no utilizarlo, al menos de momento, en temas relacionados con Interner, es decir, "mejor no uses aplicaciones que usan java, o bien, desinstala la JRE de tu equipo, de momento"
Es probable que Java, al intentar integrarse con navegadores, pierda conocimiento o control del funcionamiento exhaustivo de los mismos y se vea incapacitado de predecir ciertos problemas. Da que pensar, la verdad.
Si se aplicase en sentido estricto el "consejo" de Kaspersky, lo mejor sería desinstalar todos los navegadores
No hay una sola actualización de un navegador, aunque se hagan mes a mes, en la que no se resuelvan varios fallos de seguridad, por años que lleven en el mercado.
Sin embargo, eso no es noticia destacable; mientras que un fallo de seguridad, uno solo, detectado en JavaSE 1.7, tras un año desde que se lanzó, se convierte en poco menos que un acontecimiento mundial
"mejor no uses aplicaciones que usan java..."
Eso quiere decir que ¿Debo dejar de usar NetBeans?. Quienes usen Eclipse, ¿Deben desinstalarlo también?.
¿Habrá que avisar a Interpol, para que desinstalen su aplicación realizada en Java, con NetBeans Platform, para la gestión de balística?.
Usuarios de Vuze y Limewire: ¡Estais en serio peligro! :D
Probablemente habrá algún peligro "inminente" en ese 2% de webs que usan applets, siempre que algún usuario se conecte a alguna de ellas, y casualmente estén "infectadas" .
100% de acuerdo @choces. Veo bien que haya alerta, pero de ahí a que pase algo...
MEJOR QUE NO USES JAVA (Kaspersky), pues nada macho, podrías haber puesto algo así como MEJOR, NO TE COMPRES UN PC.
¿Podemos asegurar que el problema está relacionado con navegadores? Esa es la conclusión práctica que saco yo, porque atacar un programa java de mi ordenador desde fuera, vamos, parece un poquito más complicado.
Es decir, si uso Java, como desarrollador, no existe problema, sin embargo, si publico una aplicación Java (véase un Applet) en una web, entiendo que sí puede haber problema, ¿es así? ¿Y las aplicaciones J2ee de empresa, también corren un riesgo o no es así? ¿Podéis dar URLs de página web que sean un ejemplo de riesgo? Y por cierto, ¿qué podría pasar en el peor de los casos?
En fin miles de preguntas, para variar
Jaime, y estoy 100% de acuerdo con la recomendación de Kaspersky, teniendo en cuenta al público al que va dirigida: usuarios en general, no gente técnica. Y esa recomendación no es única de ellas. Muchos expertos en seguridad lleva mucho tiempo recomendando que "si no estás completamente seguro de que necesitas Java, desinstalalo de tu PC". Y es una buena recomendación.
Una explicación detallada de en qué consiste esa nueva vulnerabilidad:
http://geeknizer.com/java-0day-exploit-explained/
Hay una diferencia notable entre: desactivar el plugin de Java en el Navegador, y desinstalar Java.
Algún día de estos (tal vez en el siglo que viene), seremos capaces de explicar a los usuarios que Java no es únicamente un accesorio de los navegadores
@choces está muy bien lo que decís de esta diferencia, pero otro detalle importante es que el único usuario que usa java (sacando a los desarrolladores) es el que tiene alguna aplicación swing o swt, quizá mediante JNLP?, porque por lo que es la gran mayoría, navega por páginas que en sus servidores si utilizan java, pero no el usuario. Por lo cual que éste lo desinstale no le crea ningún problema.
Cuantos usuarios (de nuevo, usuarios, no desarrolladores) utilizan java?? yo creo que muy pero muy pocos.
En el único ámbito que le veo algún riesgo es en el del móvil con algún juego/aplicación pero ahí nadie instala/desinstala java.......
@diego hay muchas personas que usan java en el desktop aparte de los desarrolladores: limewire jdownloader minecraft entre otros