Usar Java 6 en el navegador es oficialmente "ser un kamikaze"
La semana pasada anunciamos la disponibilidad de Java SE 7u45. En aquel momento yo no tuve suficiente tiempo para mirar exactamente qué había cambiado porque cuando Oracle publicó esta nueva versión estaba a punto de empezar Codemotion. Pero ahora le he echado un vistazo con más detalle.
Resulta extraño que Oracle publicase una nueva update para Java apenas un mes después de haber publicado la u40. Tenía que haber algún motivo. Y efectivamente hay un buen motivo: Java SE 7u45 contiene un total de 51 parches de seguridad críticos, y 50 de estos son explotables de modo remoto sin ningún tipo de interacción por el usuario a través de un Applet. Es decir, cualquier persona que no tenga instalada Java SE 7u45 en su navegador es vulnerable al menos 50 ataques diferentes.
Con toda probabilidad, casi todos estos 50 agujeros de seguridad están presentes también en Java 6, que ya no está siendo mantenido por Oracle. Y los 50 parches correspondientes una vez descompilados son el libro de instrucciones que los hackers necesitan para usarlos en sus exploit, sino conocían todavía estos agujeros. Por tanto, podemos considerar de modo oficial que usar Java 6 a través del plugin Java de un navegador web es ser un kamikaze.
Dado el carácter crítico y el gran número de estos parches, he considerado que era importante volver a publicar una noticia sobre este tema. Sobre todo si tienes el plugin Java del navegador instalado ¡actualízate a Java SE 7u45 de modo inmediato!
Reader Comments (5)
Segun las release notes del JDK 7u45, la version equivalente con las correcciones es JDK 6u65. No es gratuita, sólo accesible a través de suscripción paga.
¡Qué salgan todos los policías de la oficina! ¡Qué estoy muy loco! ¡Qué tengo Java 6 en el navegador! :)
a que juega Oracle dejando tan fácil la descompilacion de los parches?
Siempre es posible hacer ingeniería inversa de los parches para ver que han parchado, y los hackers hasta tienen herramientas para automatizar esto.
@Christian
Tanto la VM como el JDK son Open Source, las modificaciones son públicas, y pueden verse, con toda facilidad, en el forest Mercurial del OpenJDK.
No es necesario "descompilarlos" porque se ven directamente en el código.