La semana pasada se hizo público que Yahoo había estado sirviendo malware a través de los anuncios de sus propiedades. Inicialmente, se pensó que esto sólo había afectado a Europa y sólo se había producido durante un periodo de cuatro días comprendidos entre el 31 de diciembre y el 3 de enero. Sin embargo, según va habiendo más información, el período durante el cual se sirvió el malware parece ser más extenso (27 de diciembre al 3 de enero) y puede que también se hayan servido esos anuncios a algunas localizaciones fuera de Europa.

El vector de ataque para esta vulnerabilidad es un agujero de seguridad en el plugin Java del navegador web, y podrían haberse infectado hasta 2 millones de equipos. Por lo de ahora Yahoo ha dado bastante poca información oficial, así que no se conocen con precisión los detalles del ataque ni su alcance. Pero el problema parece provenir de los anuncios empotrados en las propiedades de Yahoo, alguno de los cuales contenían un exploit que, entre otras cosas, instalaba un cliente de Bitcoin que usaba los equipos infectados para hacer minería de Bitcoins.

Este tipo de noticias, sobre todo afectando a una marca tan reconocida como Yahoo, son precisamente lo último que necesita JavaFX para intentar que éste sea el año en el que despegue. Todo esto es una prueba más de que la seguridad en el plugin Java sigue siendo una asignatura pendiente para Oracle.