lunes
ene142013
Disponible jdk1.7u11
antoniovlOracle ya ha publicado el update 11 del JDK 1.7 en el sitio usual de descargas. Se recomienda actualizar sus equipos a la brevedad.
La noticia en slashdot.org aquí.
Nota del editor: esta nueva versión soluciona el agujero de seguridad del recientemente descubierto 0 day exploit para Java 7.
Reader Comments (10)
Es la segunda vez en menos de medio año que Oracle tiene que andar corriendo para parchear una vulnerabilidad crítica que ya se está explotando ampliamente. La otra vez, hicieron un mal trabajo y de ahí que haya sucedido esta segunda vulnerabilidad. Y, nuevamente, se han saltado su teórico (mal diseñado) ciclo trimestral de actualización de Java. ¿Cuánto tiempo les va a llevar darse cuenta que no pueden tener actualizaciones trimestrales en los días que corren?
Por otro lado, lamentablemente, esto no soluciona todos los problemas. Mucha gente no va a actualizar Java en su equipo (una de las causas originales de todo este problema) porque ni saben lo que es, ni para qué lo usan, ni a lo mejor que lo tienen.
¿Para cuando actualizaciones automáticas y transparentes del JRE al estilo de cómo se actualiza Chrome, Windows, o cualquier otro producto que tenga una política de seguridad razonable para los tiempos que corren?
A mi me ha salido un mensaje al arrancar el ordenador, le he dado a aceptar etc. etc. Igual que me pasa con las actualizaciones de Adobe, aunque estas sí que me piden cada puñetera vez si quiero que sean automáticas y sin pedirme permiso ni avisarme. Y ni de coña.
Si la solución es que las actualizaciones sean "automáticas y transapartentes", de las que ni te avisen ni te pidan permiso, entonces el día que se equivoquen o les metan mano a esas actualizaciones el problema puede ser de órdago.
No es que la situación sea perfecta, pero la solución no es tan simple.
+1. Un poco de presión a Oracle no le vendría mal
Me gustaría conocer la opinión de las empresas que usan Java, con respecto a las posibles actualizaciones automáticas en sus sistemas, solo porque pueda haber fallos de seguridad en el plugin de los navegadores de Internet.
Estoy seguro de que la mayoría, por no decir casi todas, se quedarían pálidas del susto, con tan solo imaginar esa posibilidad.
Como ya he dicho 1 millón de veces en el portal:
1)Yo hablo de actualizar automáticamente el JRE ("lo que habitualmente la gente usa en su casa") no el JDK (lo que habitualmente usamos en empresas, y sobre lo que corre cualquier servidor de aplicaciones).
2) Como en el caso de cualquier mecanismo de actualización automático, debería proporcionarse una forma de detener las actualizaciones automáticas (como uno puede hacer con, por ejemplo Windows Update si quiere)
Mientras no haya actualizaciones automáticas para la inmensa mayoría de los "civiles" que usan Java, Java será un blanco apetitoso para los hackers y todos padeceremos las consecuencias.
El paralelismo con Windows Update es completo. En una empresa pueden decidir si aceptan o no las actualizaciones automáticas, y Windows proporciona herramientas para configurar el comportamiento de Windows Update al antojo de uno. Yo las tengo desactivadas (al igual que tendré desactivada la hipotética actualización de Java). Esto no quita que el comportamiento adecuado para el 99% de los usuarios sea el comportamiento que trae por defecto: actualizaciones automáticas sin pedir permiso.
Lo que quieres decir es que un autónomo, o una empresa pequeña, que use LibreOffice, puede ver comprometidas sus bases de datos en HSQLDB, a causa de una actualización automática del JRE. Porque no necesitan para nada instalar un JDK.
+1 a la opinión de Abraham. Es cierto que Oracle puede tener monopolio, pero es que Java, ahora mismo es un monopolio. Prefiero que esté en manos de Oracle las seguridad y confiárselo a ellos que confiar agujeros de seguridad (y millones) a hackers.
@choces, desde ese punto de vista, tampoco deberían actualizar el sistema operativo, no vaya a ser que se destroce el sistema de ficheros, ni nada en el equipo.
Lo que afirmo, y es un hecho de experiencia, es que las actualizaciones en empresas, sean de Sistema Operativo, o de lo que sea, no se pueden hacer "a lo loco".
Antes es imprescindible comprobar que no van a afectar al funcionamiento normal de lo que ya se tiene. Es una práctica empresarial muy extendida, y no se ciñe exclusivamente a los sistemas informáticos.
Totalmente de acuerdo, @choces, por eso yo tengo las actualizaciones automáticas deshabitadas. Para que no pase como cuando Oracle compro a Sun, y con sólo cambiar la cadena caracteres de la propiedad "vendor" de la máquina virtual Eclipse petaba porque no configuraba bien el tamaño del heap. Yo en mi equipo (con casi todo) reviso que se va instalar antes de que se instale, y preferentemente espero unos días aquí otra gente lo haya instalado y a ver si hay noticias de que da o no problemas. Para una empresa, probablemente tenga sentido ser todavía más precavido. Pero no para el 99% de los usuarios que tienen instalado Java en su PC en casa. Y esos son los que no van a saber modificar el comportamiento por defecto. Las empresas, y los usuarios como nosotros, somos los que sí que vamos a saber modificar ese comportamiento por defecto. Por ello, el comportamiento por defecto debe estar pensado para esa gran mayoría de usuarios "civiles".