Otra vulnerabilidad en Java, y esta vez afecta a Java 5, 6 y 7
Abraham
Imagen empleada por varios expertos en seguridad que recomiendan deshabilitar o desinstalar JavaLa firma de seguridad Security Explorations ha anunciado hace dos días que han encontrado una nueva vulnerabilidad que afecta a las últimas versiones de Java 5, Java 6 y Java 7. La vulnerabilidad, de la cual no han dado detalles todavía, permite a un Applet Java escalar permisos y salirse del sandbox. Es decir, hacer lo que le dé la gana en tu máquina. El ataque ha sido llevado a cabo con éxito empleando todos los navegadores modernos.
Hasta donde se conoce ahora, esta vulnerabilidad no está siendo explotada activamente por hackers. Oracle ha sido informado de la vulnerabilidad por la compañía pero todavía no ha respondido.
Otro motivo más para desactivar el plugin Java en el navegador… ¿qué futuro puede tener Java FX con este panorama?
Reader Comments (9)
¡Parece que el paso de desarrollo a producción sin hacer pruebas no sólo se hace en España!
Hay que aclarar en los títulos que el problema arranca con el maldito plugin de java en los browsers. Ya que su uso hoy día es marginal, recomiendo desactivarlo o eliminarlo.
¿Y JavaFX? ¿Realmente alguien se lo toma en serio? Hace 10 ó 15 podría haber tenido alguna oportunidad, hoy es anecdótico, y tiempo que podría invertirse mejor en otras cosas. Por ejemplo: ya van varios retrasos de características importantes en los nuevos JDK... y están perdiendo el tiempo en ¿JavaFX? En fin...
Oracle parece tomarse JavaFX en serio, y encima me consta que está comenzando a convencer alguna gente…
A mí JavaFX me parece que tiene cosas realmente buenas.
Por ejemplo esto.... http://fxexperience.com/2012/01/fun-javafx-2-0-audio-player/
Estos problemas que presenta java, es realmente preocupante =/ con lo q me gusta usar Java. Y con respecto a JavaFX, la mayoria de los comentarios q leo no son buenos y no explican por q es tan malo como lo comentan.
Yo veo a JavaFX como componentes o controles nuevos para Java, asi como primeramente aparecio los componestes AWT, luego SWING y ahora JavaFX ^^, y con la version de JavaFX 2.0 en adelante la codificación es similar a Java , y lo bueno es q JavaFX puede usar CSS, puedes crear aplicaciones realmente atractivas ;)
Use JavaFX para desarrollar una aplicación de escritorio para enviar mensajes de correo, espero les guste :)
Click aqui para ver
¿Salirse del sandbox implicaría ejecutar código con privilegios del usuario (dado que el applet es un proceso hijo del browser y el browser corre con privilegios del usuario que lo ejecuta)? Si es correcto, entonces no necesariamente se puede tomar control del equipo, al menos no sería así en Mac o en Linux. Si estoy equivocado, por favor no duden en aclarar el punto.
Bueno, es normal, todo lo que esté en la red, está expuesto, y más, sabiendo que hay una industria detrás de los virus (y no sólo por los antivirus). Antes los Mac se anunciaban como máquinas sin virus, ahora no lo hacen, ya tienen una masa crítica que interesa a los hackers.
Respecto a JavaFX, yo estoy vigilante, para ver como evoluciona, me parece que es intentar hacer el GUI de java desde cero, habiendo aprendido de los errores anteriores. Sino lo portan a los dispositivos móviles (teléfonos, tabletas, etc...), no creo que llegue a coger masa crítica. Tiene potencial y podría devolver a java el "run everywhere", pero ya veremos.
Un saludo.
PD : Creo que en Windows pasa lo mismo que en Linux y Mac si eres buen usuario y no usas el usuario administrador, aunque en Vista y 7 el administrador, no termina de ser del todo administrador.
Alguien usa applets?
En mi vida e usado applets, salvo para una aplicacion de diseño de procesos de negocio.
Solo he usado servlets que se ejecutan en el servidor, estas vulnerabilidades afectan a este tipo de aplicaciones?
Saludos.