Lisandro Pardo
No se trata de ninguna preferencia personal ni nada parecido: Se ha reportado una seria vulnerabilidad que afecta a las versiones más recientes de Java, y hasta que Oracle no tome cartas en el asunto, se está recomendando desactivar o incluso desinstalar Java temporalmente. Ahora, si la vulnerabilidad está identificada, ¿cuál es el problema? La mayoría de los dedos apuntan al estricto ciclo de actualizaciones que Oracle ha implementado, que de respetarse esta vez, no producirá un parche por lo menos hasta mediados de octubre. Si te estás preguntando cómo desactivar Java, sigue leyendo.
La relevancia que posee Java en los sistemas actuales no está en duda. Hay muchas aplicaciones populares que dependen de Java, y eso no debería cambiar en el corto plazo. Sin embargo, cuesta creer que Java tenga tantos problemas de seguridad, y que no sean corregidos con la velocidad suficiente. Los usuarios de OS X ya han visto los efectos de cerca, cortesía del troyano Flashback que infectó unos 600 mil sistemas. Si bien Oracle había solucionado la vulnerabilidad en febrero, esta corrección no llegó a los usuarios de OS X hasta el mes de abril. La última actualización de Java fue presentada como “7 update 6”, que en realidad es 1.7.0.6, y que fue lanzada el pasado 14 de agosto. Hasta allí todo parece estar bien… salvo por la vulnerabilidad “0-day” que acaba de ser descubierta.
De acuerdo a la compañía de seguridad FireEye, todas las ediciones de Java 1.7x se encuentran afectadas. El troyano, identificado como Dropper.MsPMs, usa y abusa de la vulnerabilidad 0-day, instalándose y ejecutándose en el sistema remoto sin ninguna clase de señal o advertencia. Como ha sucedido en tantas ocasiones previas, Dropper.MsPMs parece tener cierta preferencia por sistemas Windows, pero eso no altera el hecho de que con las modificaciones suficientes, la vulnerabilidad pueda ser utilizada por otra clase de malware en diferentes plataformas. FireEye ha informado que las ediciones 1.6 de Java no tienen este problema (hay muchos reportes que indican que Apple estaría ofreciendo ese build en OS X), aunque en este caso, retroceder una versión puede ser una espada de doble filo, ya que el sistema podría quedar expuesto a otra clase de inconvenientes.
La decisión que han tomado muchas empresas y sitios especializados parece unánime: Desactivar Java hasta nuevo aviso, o en el peor de los casos, quitarlo del ordenador. En caso de desinstalarlo, es necesaria una visita a “Programas y Características” en el Panel de Control, y eliminar toda entrada relacionada con Java. Mozilla también ha dicho que conviene desactivar Java hasta que Oracle pueda solucionar el problema. En consecuencia, los usuarios de Firefox deben ir a la sección “Add-ons”, hacer clic en “Plugins”, y desactivar todo lo que pertenezca a Java. En el caso de Google Chrome, la opción está en “chrome:plugins”. Busquen la entrada que hace referencia a Java, y con un clic en “Disable” será suficiente. Y si hay algún jinete de Internet Explorer por ahí, Java se desactiva desde el menú “Administrar complementos”. Ahora, a esperar la respuesta de Oracle, pero ya puedo ver algunos jugadores de Minecraft con antorchas en la mano…
