Se recomienda desinstalar Java

Se recomienda desinstalar Java

110 Flares Twitter 99 Facebook 0 Google+ 11 Pin It Share 0 Email -- 110 Flares ×

El título tal vez necesite las palabras “otra vez”, porque hasta aquí parece una secuela de lo que sucedió en agosto de 2012. Lamentablemente, la plataforma Java ha comenzado el año con una nueva vulnerabilidad “0-day” que ya está siendo “explotada” a través de la Web. A pesar de que el nuevo bug fue identificado sobre la última versión disponible del paquete, algunos portales de seguridad indican que también afecta a builds previos. Hasta que Oracle no active sus mecanismos para corregir el error, la recomendación es deshabilitar o desinstalar Java del sistema.

Cualquier discusión sobre rendimiento o conveniencia de una plataforma queda automáticamente de lado cuando la seguridad toma el primer plano. En el caso de Java, uno de sus últimos incidentes fue a finales de agosto de 2012, cuando una vulnerabilidad 0-day afectó a la versión 1.7.0.6, también conocida como “7 update 6”. Menos de cinco meses después, Java vuelve a ser el foco de atención, y por la misma razón que en aquel entonces. Sin embargo, se ha establecido que esta vulnerabilidad es mucho más peligrosa, porque ya está siendo utilizada por “paquetes de exploits” disponibles en la Web, entre los que se destacan “Blackhole” y “Nuclear Pack” (que presentaron al exploit como “regalo de Año Nuevo”).

El código asignado a esta nueva vulnerabilidad 0-day de Java es CVE-2013-0422, reportada originalmente en el blog “Malware don’t need Coffee”. Aunque el responsable del anuncio indica que la vulnerabilidad parece ser exclusiva de la versión 7 update 10, el US-CERT (US Computer Emergency Readiness Team) publicó que las versiones afectadas son “7 update 10 y anteriores”. La vulnerabilidad cae en la categoría de ejecución remota de código: A través de una página especialmente diseñada por el atacante, un usuario puede habilitar la ejecución remota de código sin su conocimiento. La vulnerabilidad fue puesta a prueba por AlienVault Labs, y en su demostración lograron iniciar la Calculadora de Windows.

Una vez más, las acciones que puede tomar el usuario final son dos: Deshabilitar Java o quitarlo del ordenador, independientemente del navegador y el sistema operativo. A los métodos que mencionamos en el artículo anterior también se suma la posibilidad de deshabilitar el contenido Java en un navegador, a través del panel de control de Java, en la pestaña “Seguridad”. De todos modos, creo que no vale la pena el riesgo. Es evidente que las fallas en el “control de calidad” de Java se están haciendo cada vez más serias. En lo personal he retirado por completo a Java de mis ordenadores, y aunque confío en que Oracle va a corregir el problema, la sensación que se ha instalado es que va a suceder de nuevo. Espero equivocarme.