Esta semana se ha hablado mucho de Java. Se habló en un principio de la versión 7 update 10. Que era muy vulnerable. Tan vulnerable y critica era, que muchos recomendaron la desinstalación completa de Java en sus equipos.
0-day Un ataque de día-cero (en inglés zero-day attack ó 0-day attack) es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática1
Era bastante grave la vulnerabilidad dado que permitía la ejecución e instalación de Software en el sistema sin que el usuario se enterara, esto permitía robar información, y hacer prácticamente cualquier cosa.
En los últimos días los «genius» De Oracle han lanzado su nueva versión con un supuesto parche para el 0-day llamada Java 7 update 11.
Pero muchos afirman que la vulnerabilidad aún persiste. O Mas bien, no se ha parcheado en su totalidad. Según los expertos, dicen que a Oracle le podría costar hasta 2 años solucionar completamente esta vulnerabilidad.
Desde Oracle nos ofrecen ir hasta el panel de control de Java y ajustar el nivel de seguridad y pasarlo de medio a alto y esto hará más difícil la ejecución de código malicioso sin nuestro consentimiento. Pero ojo «Lo hará más difícil» No lo detendrá.
Yo personalmente digo que el tiempo de Java ya culmino. Desde que leo blogs siempre se a mostrado a Java muy vulnerable y la verdad nunca me entero si tengo Java instalado o no. Osea no noto la diferencia. Personalmente hace mucho tiempo lo desinstalé y mi vida sigue igual. Mas segura por supuesto 😀
Yo recomendaría que si son usuarios de escritorio. Común y silvestre, no instalen Java. Ya suficiente tenemos con Flash.
No sé porqué me sale una pequeña sonrisa al leer ésto. Tal vez sea yo ;D
Ya somos dos jejeje
¿ni siquiera openjdk?
Si hacen homebanking o utilizan sitios complejos es muy seguro que necesiten tener Java instalado para usarlos – Java RTE, no OpenJDK en donde no funciona la mayoria de estos sitios.
Si msx tiene razón, además en mi caso por ejemplo es necesario para ingresar al sistema de notas e inscripción de cursos de mi universidad. Por cierto no te lo tomes a mal ni mucho menos, pero podrías poner las fuentes que afirman que aún sigue la vulnerabilidad tras la actualización? me interesa informarme más ya que es un mal necesario el uso de java.
Yo siempre he sido el mayor detractor de Java por estos lares. La verdad es que este tipo de vulnerabilidades críticas siempre surgen en este lenguaje y esa es una de las tantas razones por las cuales yo declino el uso de ese producto de tan mala calidad.
Vamos, que no tarda en llegarme uno respondiendo que Java es esto, que Android lo otro… a cagar Java.
Una pequeña corrección: lo inseguro no es el lenguaje (que con sus clases y camel case es horrbile, eso si) sino la máquina virtual en donde se compila Java al vuelo.
Obviamente, mi error por no especificarlo, a veces tiendo a generalizarlo mucho.
Pero en si todo lo que tenga que ver con Java no me gusta.
Incluyendo el horrible, lento, arcaico y penoso motor dalvik que usa android.
Uf, es bueno encontrar gente con opinión y sin miedo a decir las cosas como son.
Por suerte el futuro se muestra promisorio con la gran cantidad de alternativas que están en su fase final de maduración :D:D
Ya es hora de remplazar todo lo de Java con Python… creo yo. Como decía el autor el tiempo de Java culminó.
Totalmente de acuerdo.
En eso si estoy de acuerdo python no necesita si quiera compilarse, pero como descargo sin jdownloader?,tucan no me funciona y ratfat peor quien recomienda algun programa dedescargar multi-protocolo donde funcionen los links de depositfiles?.
plowshare
Ojala no lea esto mi jefe.. si no me voy a dedicar a vender artesanias en la plaza… jejeje
Vale con la noticia; de todos modos, en los sitios donde he leído acerca de esta vulnerabilidad de Java, solamente advierten a los usuarios de Windows y OS X, no he visto mención alguna a GNU/Linux, en cualquier caso, como con todas las cosas, el grado de peligro que la misma representa dependerá de nuestros hábitos de navegación y de seguridad. Por otra parte, no veo muy claro eso de deshabilitar y/o desinstalar Java por completoe, pues no solo lo utilizan los navegadores; si se fijan bien, las suites de LibreOffice y OpenOffice lo instalan y utilizan por defecto, por lo que no tengo muy claro cuán efectiva resulte la «desinstalación», si alguien tiene una idea más precisa del asunto, le agradecería lo explique en detalle.
Linux SI es vulnerable:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
y aunque reduces el riesgo al no visitar páginas de dudosa seguridad la infección se puede dar por el simple hecho de visitar una página comprometida (la web de tu escuela, una tienda comercial, etc).
Aunque Linux es más seguro, no hay que alimentar el mito de que es intocable.
No es así.
GNU/Linux es seguro, lo inseguro es Java.
Windows es inseguro con o sin Java.
Si dejás abierto un servidor SSH en puerto 22 con acceso root y sin password lógicamente van a entrar como Pancho por su casa.
No que hay alimentar FUD.
Y agrego: el problema de Java es los requerimientos a bajo nivel de la máquina virtual, bajo esta nueva luz es evidente que:
la máquina virtual necesita acceso a bajo nivel al sistema para funcionar lo que de por sí es un error de diseño y un vector de ataque ya que el sistema (GNU/Linux en este caso) no tiene forma de actuar ni defenderse ya que literalmente le entrega las llaves a Java.
Lógicamente si la máquina virtual pide acceso irrestricto al sistema para funcionar éste va a ser el punto más débil del sistema en sí y la seguridad general del sistema va a estar marcada por la seguridad que tengan las aplicaciones que necesiten correr en kernel space o user space privilegiado.
Documentarse, leer, comprender y -por favor- no esparcir FUD.
Hasta donde recuerdo o tengo entendido no hay manera de que una aplicación cualquiera pueda acceder a tan bajo nivel de acción en el Kernel.
Lo he leído pero ahora mismo no recuerdo donde y la verdad es que tampoco sé lo suficiente como para ponerme a discutir sobre eso… no soy tan irresponsable, pero quería comentarlo de todos modos.
Yo tengo libreoffice y no he instalado java.
En el caso de Windows, afecta XP y 7. Windows 8 y Explorer 10 sin problemas. En la PC con Linux ya deshabilité en los navegadores, por si las moscas.
Pues si usas Sun Java en Linux, eso demora un tiempo en actualizar. Sobretodo si usas Distros como Debian. Entonces por lo general o se compila o se instalan los .deb manual. Por lo tanto no se actualizan solos.
solo basta con deshabilitar los plugins, no es necesario desinstalarlo
Que sentido tiene tener un plugins instalado y deshabilitarlo?
Que cuando se arregle el problema lo habilitas, me imagino que se actualizará con el parche.
que cuando solucionen el problema y saquen una nueva versión los habilitas de nuevo, es lo mismo que dice Juan Carlos excepto por lo de los parches, ya que por más que los sacan parece que el problema persiste
@Charlie-Brown
Libreoffice instala openjdk, no te instala java, por ese lado no hay problema, ahora como dice msx, si
Yupiiii, estamos seguros.
Que tal openjdk?
soy minecraftero.. no estoy dispuesto a abandonar tan facilmente 😛
aver aclarenme una cosa, este error afecta a openjdk? porque por lo que se la mayoria de linux usan openjdk, porque por lo que lei es un bug o error de java de oracle