Aquesta setmana s'ha parlat molt de Java. Es va parlar al principi de la versió 7 update 10. Que era molt vulnerable. Tan vulnerable i crítica era, que molts van recomanar la desinstal·lació completa de Java als seus equips.
0-dia Un atac de dia-zero (en anglès zero-day attack o 0-day attack) és un atac contra una aplicació o sistema que té com a objectiu l'execució de codi maliciós gràcies al coneixement de vulnerabilitats que, en general, són desconegudes per a la gent i el fabricant del producte. Això suposa que encara no hagin estat arreglades. Aquest tipus de explotar circula generalment entre les files dels potencials atacants fins que finalment és publicat en fòrums públics. Un atac de dia zero es considera un dels instruments més perillosos d'una guerra informàtica1
Era força greu la vulnerabilitat atès que permetia l'execució i instal·lació de Programari al sistema sense que l'usuari se n'assabentés, això permetia robar informació, i fer pràcticament qualsevol cosa.
En els darrers dies els genius De Oracle han llançat la seva nova versió amb un suposat pegat per al 0-day anomenada Java 7 update 11.
Però molts afirmen que la vulnerabilitat encara persisteix. O Mas bé, no s'ha pegat en la seva totalitat. Segons els experts, diuen que a Oracle li podria costar fins a 2 anys solucionar completament aquesta vulnerabilitat.
Des d'Oracle ens ofereixen anar fins al tauler de control de Java i ajustar el nivell de seguretat i passar-ho de mig a alt i això farà més difícil l'execució de codi maliciós sense el nostre consentiment. Però compte «Ho farà més difícil» No ho aturarà.
Jo personalment dic que el temps de Java ja culmino. Des que llegeixo blocs sempre s'ha mostrat a Java molt vulnerable i la veritat mai m'assabento si tinc Java instal·lat o no. Osea no noto la diferència. Personalment fa molt de temps ho vaig desinstal·lar i la meva vida segueix igual. Més segura per descomptat 😀
Jo recomanaria que si són usuaris descriptori. Comú i silvestre, no instal·lin Java. Ja n'hi ha prou amb Flash.
No sé perquè em surt un petit somriure en llegir això. Potser sigui jo ;D
Ja som dos jejeje
ni tan sols openjdk?
Si fan homebanking o utilitzen llocs complexos és molt segur que necessitin tenir Java instal·lat per fer-los servir – Java RTE, no OpenJDK on no funciona la majoria d'aquests llocs.
Si msx té raó, a més en el meu cas, per exemple, és necessari per ingressar al sistema de notes i inscripció de cursos de la meva universitat. Per cert no t'ho prenguis malament ni de bon tros, però podries posar les fonts que afirmen que encara segueix la vulnerabilitat després de l'actualització? m'interessa informar-me'n més ja que és un mal necessari l'ús de java.
Jo sempre he estat el major detractor de Java per aquests lars. La veritat és que aquest tipus de vulnerabilitats crítiques sempre sorgeixen en aquest llenguatge i aquesta és una de les tantes raons per les quals jo declino utilitzar aquest producte de tan mala qualitat.
Vaja, que no triga a arribar-me un responent que Java és això, que Android allò altre… a cagar Java.
Una petita correcció: el que és insegur no és el llenguatge (que amb les seves classes i camel case és horrbile, això si) sinó la màquina virtual on es compila Java al vol.
Òbviament, el meu error per no especificar-ho, de vegades tendeixo a generalitzar-ho molt.
Però si tot el que tingui a veure amb Java no m'agrada.
Incloent l'horrible, lent, arcaic i penós motor dalvik que utilitza android.
Uf, és bo trobar gent amb opinió i sense por de dir les coses com són.
Per sort el futur es mostra promissori amb la gran quantitat d'alternatives que estan a la fase final de maduració :D:D
Ja és hora de reemplaçar tot allò de Java amb Python… crec jo. Com deia l'autor, el temps de Java va culminar.
Totalment d'acord.
En això si estic d'acord python no necessita si es vol compilar, però com a descàrrec sense jdownloader?, tucan no em funciona i ratfat pitjor qui recomana algun programa de descarregar multi-protocol on funcionin els links de dipositfiles?.
Plowshare
Tant de bo no llegeixi això el meu cap.. si no em dedicaré a vendre artesanies a la plaça… jejeje
Val amb la notícia; de tota manera, en els llocs on he llegit sobre aquesta vulnerabilitat de Java, només adverteixen els usuaris de Windows i OS X, no he vist cap menció a GNU/Linux, en qualsevol cas, com amb totes les coses, el grau de perill que aquesta representa dependrà dels nostres hàbits de navegació i de seguretat. D'altra banda, no veig gaire clar això de deshabilitar i/o desinstal·lar Java per complet, ja que no només ho utilitzen els navegadors; si es fixen bé, les suites de LibreOffice i OpenOffice ho instal·len i utilitzen per defecte, per la qual cosa no tinc gaire clar com de efectiva resulti la «desinstal·lació», si algú té una idea més precisa de l'assumpte, li agrairia ho expliqui detalladament.
Linux SI és vulnerable:
http://erratasec.blogspot.mx/2012/08/new-java-0day.html
http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/
i encara que reduïxes el risc en no visitar pàgines de dubtosa seguretat la infecció es pot donar pel simple fet de visitar una pàgina compromesa (la web de la teva escola, una botiga comercial, etc).
Tot i que Linux és més segur, no cal alimentar el mite que és intocable.
No és així.
GNU/Linux és segur, el que és insegur és Java.
Windows és insegur amb Java o sense.
Si deixes obert un servidor SSH a port 22 amb accés root i sense password lògicament entraran com Pancho per casa seva.
No cal alimentar FUD.
I afegeixo: el problema de Java és els requeriments a baix nivell de la màquina virtual, sota aquesta nova llum és evident que:
la màquina virtual necessita accés a baix nivell al sistema per funcionar el que de per si és un error de disseny i un vector d'atac ja que el sistema (GNU/Linux en aquest cas) no té forma d'actuar ni defensar-se ja que literalment li lliura les claus a Java.
Lògicament si la màquina virtual demana accés irrestricte al sistema per funcionar aquest serà el punt més feble del sistema en si i la seguretat general del sistema estarà marcada per la seguretat que tinguin les aplicacions que necessitin córrer al nucli space o user space privilegiat.
Documentar-se, llegir, comprendre i -si us plau- no escampar FUD.
Fins on recordo o tinc entès no hi ha manera que una aplicació qualsevol pugui accedir a un nivell d'acció tan baix al Kernel.
Ho he llegit però ara mateix no recordo on i la veritat és que tampoc no sé prou per posar-me a discutir sobre això… no sóc tan irresponsable, però volia comentar-ho de totes maneres.
Jo tinc lliureoffice i no he instal·lat java.
En el cas de Windows, afecta XP i 7. Windows 8 i Explorer 10 sense problemes. Al PC amb Linux ja vaig deshabilitar als navegadors, per si les mosques.
Doncs si utilitzes Sun Java a Linux, això demora un temps a actualitzar. Sobretot si utilitzes Distros com a Debian. Aleshores en general o es compila o s'instal·len els .deb manual. Per tant, no s'actualitzen sols.
només n'hi ha prou amb deshabilitar els plugins, no cal desinstal·lar-lo
Quin sentit té tenir un plugins instal·lat i deshabilitar-ho?
Que quan s'arregli el problema l'habilites, m'imagino que s'actualitzarà amb el pegat.
que quan solucionin el problema i treguin una nova versió els habilites de nou, és el mateix que diu Joan Carles excepte per allò dels pegats, ja que per més que els treuen sembla que el problema persisteix
@Charlie-Brown
Libreoffice instal·la openjdk, no t'instal·la java, per aquest costat no hi ha problema, ara com diu msx, si
Yupiiii, n'estem segurs.
Que tal openjdk?
sóc minecrafter.. no estic disposat a abandonar tan fàcilment 😛
veure aclariu-me una cosa, aquest error afecta a openjdk? perquè pel que es la majoria de linux usen openjdk, perquè pel que lei és un bug o error de java d'oracle