Jueves 20 / 06 / 2013

Neoteo Revista de Tecnologia

Se recomienda desinstalar Java

Lisandro Pardo . Vista 15219 veces

15 Votos
20 Comentarios
20>> comenta

El título tal vez necesite las palabras “otra vez”, porque hasta aquí parece una secuela de lo que sucedió en agosto de 2012. Lamentablemente, la plataforma Java ha comenzado el año con una nueva vulnerabilidad “0-day” que ya está siendo “explotada” a través de la Web. A pesar de que el nuevo bug fue identificado sobre la última versión disponible del paquete, algunos portales de seguridad indican que también afecta a builds previos. Hasta que Oracle no active sus mecanismos para corregir el error, la recomendación es deshabilitar o desinstalar Java del sistema.

Cualquier discusión sobre rendimiento o conveniencia de una plataforma queda automáticamente de lado cuando la seguridad toma el primer plano. En el caso de Java, uno de sus últimos incidentes fue a finales de agosto de 2012, cuando una vulnerabilidad 0-day afectó a la versión 1.7.0.6, también conocida como “7 update 6”. Menos de cinco meses después, Java vuelve a ser el foco de atención, y por la misma razón que en aquel entonces. Sin embargo, se ha establecido que esta vulnerabilidad es mucho más peligrosa, porque ya está siendo utilizada por “paquetes de exploits” disponibles en la Web, entre los que se destacan “Blackhole” y “Nuclear Pack” (que presentaron al exploit como “regalo de Año Nuevo”).

AlienVault Labs usó el exploit para ejecutar la Calculadora, pero puede ser algo peor...

El código asignado a esta nueva vulnerabilidad 0-day de Java es CVE-2013-0422, reportada originalmente en el blog “Malware don’t need Coffee”. Aunque el responsable del anuncio indica que la vulnerabilidad parece ser exclusiva de la versión 7 update 10, el US-CERT (US Computer Emergency Readiness Team) publicó que las versiones afectadas son “7 update 10 y anteriores”. La vulnerabilidad cae en la categoría de ejecución remota de código: A través de una página especialmente diseñada por el atacante, un usuario puede habilitar la ejecución remota de código sin su conocimiento. La vulnerabilidad fue puesta a prueba por AlienVault Labs, y en su demostración lograron iniciar la Calculadora de Windows.

Una vez más, las acciones que puede tomar el usuario final son dos: Deshabilitar Java o quitarlo del ordenador, independientemente del navegador y el sistema operativo. A los métodos que mencionamos en el artículo anterior también se suma la posibilidad de deshabilitar el contenido Java en un navegador, a través del panel de control de Java, en la pestaña “Seguridad”. De todos modos, creo que no vale la pena el riesgo. Es evidente que las fallas en el “control de calidad” de Java se están haciendo cada vez más serias. En lo personal he retirado por completo a Java de mis ordenadores, y aunque confío en que Oracle va a corregir el problema, la sensación que se ha instalado es que va a suceder de nuevo. Espero equivocarme.

Fuente: The Next Web

Tags:

¿Y tú, qué opinas?

#1

Joaquín viernes, 11 de enero de 2013, 06:52

El problema es que cuanto más crece un software más crecen sus potenciales vulnerabilidades. Aunque yo, más que por indignarme con el "control de calidad" de Oracle, desde aquí expreso mis peores deseos contra esta gente que se dedica a buscar y explotar las vulnerabilidades. Os deseo mucho infortunio en la vida.

Responder >> Votos: -11 de 61
#2

Pentester viernes, 11 de enero de 2013, 08:03

#1 Por qué me deseas el mal? A mi me pagan por encontrar estas vulnerabilidades, para que Uds los usuarios, se encuentren mas seguros de atacantes no éticos.

En todo campo existen los "buenos y los malos", policía bueno, policía malo, abogado bueno, abogado malo.

Responder >> Votos: 37 de 75
#3

aaa viernes, 11 de enero de 2013, 09:10

#2 Evidentemente el usuario #1 no se refería a la gente que busca vulnerabilidades para mejorar el producto, se refería a la gente que encuentra vulnerabilidades y las aprovecha para dar la nota y fastidiar a otros usuarios...

Responder >> Votos: 60 de 62
#4

aaa viernes, 11 de enero de 2013, 09:11

#2 Evidentemente el usuario #1 no se refería a la gente que busca vulnerabilidades para mejorar el producto, se refería a la gente que encuentra vulnerabilidades y las aprovecha para dar la nota y fastidiar a otros usuarios...

Responder >> Votos: 0 de 24
#5

Nasher_87(ARG) viernes, 11 de enero de 2013, 09:46

Y yo me pregunto ¿que usamos de reemplazo a Java?. Por ejemplo, Google Reader utiliza Java

Responder >> Votos: 13 de 19
#6

Federico viernes, 11 de enero de 2013, 14:25

#5 Google Reader usa Java? Creo que no... Seguro que sí usa Javascript, que no es lo mismo...

Responder >> Votos: 9 de 15
#7

Hernan viernes, 11 de enero de 2013, 15:15

Java no es el problema, cualquier software que sea de uso masivo termina siendo sujeto a vulnerabilidades, hay que empezar a entender los riesgos reales de una red global de computadoras, y no buscar chivos expiatorios

Responder >> Votos: 25 de 25
#8

Abraham viernes, 11 de enero de 2013, 15:24

que software puede reemplazar al java?

Responder >> Votos: 11 de 11
#9

Nelson viernes, 11 de enero de 2013, 16:13

Mierda! entonces si uso por ejemplo eclipse como IDE me jodí?

Responder >> Votos: 4 de 4
#10

xzinik viernes, 11 de enero de 2013, 16:13

#8 una buena alternativa es open jdk de gnu

Responder >> Votos: 2 de 12
#11

Moltrev viernes, 11 de enero de 2013, 19:22

¿Y cómo voy a jugar minecraft?

Responder >> Votos: 9 de 15
#12

carlos viernes, 11 de enero de 2013, 20:13

nooo... que lata esto no me agrada... y que hare con todo con jdown con hattrick :'( llorare...

Responder >> Votos: 2 de 2
#13

Ortoneitor sábado, 12 de enero de 2013, 00:09

Ojala y mejoren la vulnerabilidades para cuando salga Java 8

Responder >> Votos: 3 de 3
#14

Juan Guillermo Triana Caicedo sábado, 12 de enero de 2013, 03:11

EL PROBLEMA NO ES JAVA, el problema es la empresa desarroladora que es un fiasco, desde que compraron virtual box y dema este sfotware a empeorado, deberia convertirse en opensoruce por completo

Responder >> Votos: 6 de 6
#15

Yamir Ortega sábado, 12 de enero de 2013, 03:18

#9 No estimado, la falla a la que se refieren es al plugin de java que se instala en los navegadores, no asi al java que se utiliza para programar ni mucho menos a las aplicaciones java en servidores, los medios han sido bien amarillistas para alarmar, el problema es el plugin que sirve para que los applets corran en un navegador.

Responder >> Votos: 8 de 8
#16

markissmuzzo sábado, 12 de enero de 2013, 03:26

Que sensacionalismo... no me gusta java en absoluto, pero el titulo del articulo es exagerado... para que pase algo tenes que entrar a una pagina exclusivamente diseñada para bla bla bla... dejense de joder..

Responder >> Votos: 5 de 7
#17

antonio domingo, 13 de enero de 2013, 05:06

Porque los articulos o post de esta apgina tan informativa no tienen fecha ??? un detallito de poca etica y mala organizacion.

Responder >> Votos: 5 de 5
#18

Sagnus lunes, 14 de enero de 2013, 01:20

A mi el firefox me lo ha deshabilitado ya por si solo, avisando de que era una fuente de riesgos. Que chulada 8=).

Responder >> Votos: 6 de 6
#19

alotech23 lunes, 14 de enero de 2013, 14:36

Java 7 Update 11 ver. 7.0.110 esperemos ques esta ya este corregida...

Responder >> Votos: 1 de 1
#20

adriel miércoles, 16 de enero de 2013, 05:39

otro q se va al "muere"... primero flash y ahora java? larga vida a las aplicaciones nativas

Responder >> Votos: 1 de 1
Cargando...