Java Sigue vulnerable al 0-day pese su actualización.

 

Esta semana se ha hablado mucho de Java.  Se habló en un principio de la versión 7 update 10. Que era muy vulnerable. Tan vulnerable y critica era, que muchos recomendaron la desinstalación completa de Java en sus equipos.

0-day Un ataque de día-cero (en inglés zero-day attack ó 0-day attack) es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática1

Era bastante grave la vulnerabilidad dado que permitía la ejecución e instalación de Software en el sistema sin que el usuario se enterara, esto permitía  robar información, y hacer prácticamente cualquier cosa.

En los últimos días los “genius” De Oracle han lanzado su nueva versión con un supuesto parche para el 0-day llamada Java 7 update 11.

Pero muchos afirman que la vulnerabilidad aún persiste. O Mas bien, no se ha parcheado en su totalidad.  Según los expertos, dicen que a Oracle le podría costar hasta 2 años solucionar completamente esta vulnerabilidad.

Desde Oracle nos ofrecen ir hasta el panel de control de Java y ajustar el nivel de seguridad y pasarlo de medio a alto y esto hará más difícil la ejecución de código malicioso sin nuestro consentimiento.  Pero ojo “Lo hará más difícil” No lo detendrá.

Yo personalmente digo que el tiempo de Java ya culmino. Desde que leo blogs siempre se a mostrado a Java muy vulnerable y  la verdad nunca me entero si tengo Java instalado o no. Osea no noto la diferencia.  Personalmente hace mucho tiempo lo desinstalé y mi vida sigue igual. Mas segura por supuesto 😀

Yo recomendaría que si son usuarios de escritorio. Común y silvestre, no instalen Java. Ya suficiente tenemos con Flash.


31 comentarios

  1.   Blaire Pascal dijo

    No sé porqué me sale una pequeña sonrisa al leer ésto. Tal vez sea yo ;D

    1.    KZKG^Gaara dijo

      Ya somos dos jejeje

  2.   diazepan dijo

    ¿ni siquiera openjdk?

  3.   msx dijo

    Si hacen homebanking o utilizan sitios complejos es muy seguro que necesiten tener Java instalado para usarlos – Java RTE, no OpenJDK en donde no funciona la mayoria de estos sitios.

  4.   Rayonant dijo

    Si msx tiene razón, además en mi caso por ejemplo es necesario para ingresar al sistema de notas e inscripción de cursos de mi universidad. Por cierto no te lo tomes a mal ni mucho menos, pero podrías poner las fuentes que afirman que aún sigue la vulnerabilidad tras la actualización? me interesa informarme más ya que es un mal necesario el uso de java.

  5.   nano dijo

    Yo siempre he sido el mayor detractor de Java por estos lares. La verdad es que este tipo de vulnerabilidades críticas siempre surgen en este lenguaje y esa es una de las tantas razones por las cuales yo declino el uso de ese producto de tan mala calidad.

    Vamos, que no tarda en llegarme uno respondiendo que Java es esto, que Android lo otro… a cagar Java.

    1.    msx dijo

      Una pequeña corrección: lo inseguro no es el lenguaje (que con sus clases y camel case es horrbile, eso si) sino la máquina virtual en donde se compila Java al vuelo.

      1.    nano dijo

        Obviamente, mi error por no especificarlo, a veces tiendo a generalizarlo mucho.

        Pero en si todo lo que tenga que ver con Java no me gusta.

        1.    Iván Barra dijo

          Incluyendo el horrible, lento, arcaico y penoso motor dalvik que usa android.

          1.    m dijo

            Uf, es bueno encontrar gente con opinión y sin miedo a decir las cosas como son.

            Por suerte el futuro se muestra promisorio con la gran cantidad de alternativas que están en su fase final de maduración :D:D

  6.   Giskard dijo

    Ya es hora de remplazar todo lo de Java con Python… creo yo. Como decía el autor el tiempo de Java culminó.

    1.    VaryHeavy dijo

      Totalmente de acuerdo.

    2.    merlin el debianita dijo

      En eso si estoy de acuerdo python no necesita si quiera compilarse, pero como descargo sin jdownloader?,tucan no me funciona y ratfat peor quien recomienda algun programa dedescargar multi-protocolo donde funcionen los links de depositfiles?.

      1.    msx dijo

        plowshare

  7.   Ricardo dijo

    Ojala no lea esto mi jefe.. si no me voy a dedicar a vender artesanias en la plaza… jejeje

  8.   Charlie-Brown dijo

    Vale con la noticia; de todos modos, en los sitios donde he leído acerca de esta vulnerabilidad de Java, solamente advierten a los usuarios de Windows y OS X, no he visto mención alguna a GNU/Linux, en cualquier caso, como con todas las cosas, el grado de peligro que la misma representa dependerá de nuestros hábitos de navegación y de seguridad. Por otra parte, no veo muy claro eso de deshabilitar y/o desinstalar Java por completoe, pues no solo lo utilizan los navegadores; si se fijan bien, las suites de LibreOffice y OpenOffice lo instalan y utilizan por defecto, por lo que no tengo muy claro cuán efectiva resulte la “desinstalación”, si alguien tiene una idea más precisa del asunto, le agradecería lo explique en detalle.

    1.    Mario dijo

      Linux SI es vulnerable:

      http://erratasec.blogspot.mx/2012/08/new-java-0day.html
      http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/

      y aunque reduces el riesgo al no visitar páginas de dudosa seguridad la infección se puede dar por el simple hecho de visitar una página comprometida (la web de tu escuela, una tienda comercial, etc).

      Aunque Linux es más seguro, no hay que alimentar el mito de que es intocable.

      1.    msx dijo

        No es así.

        GNU/Linux es seguro, lo inseguro es Java.
        Windows es inseguro con o sin Java.

        Si dejás abierto un servidor SSH en puerto 22 con acceso root y sin password lógicamente van a entrar como Pancho por su casa.

        No que hay alimentar FUD.

        1.    msx dijo

          Y agrego: el problema de Java es los requerimientos a bajo nivel de la máquina virtual, bajo esta nueva luz es evidente que:

          la máquina virtual necesita acceso a bajo nivel al sistema para funcionar lo que de por sí es un error de diseño y un vector de ataque ya que el sistema (GNU/Linux en este caso) no tiene forma de actuar ni defenderse ya que literalmente le entrega las llaves a Java.

          Lógicamente si la máquina virtual pide acceso irrestricto al sistema para funcionar éste va a ser el punto más débil del sistema en sí y la seguridad general del sistema va a estar marcada por la seguridad que tengan las aplicaciones que necesiten correr en kernel space o user space privilegiado.

          Documentarse, leer, comprender y -por favor- no esparcir FUD.

          1.    nano dijo

            Hasta donde recuerdo o tengo entendido no hay manera de que una aplicación cualquiera pueda acceder a tan bajo nivel de acción en el Kernel.

            Lo he leído pero ahora mismo no recuerdo donde y la verdad es que tampoco sé lo suficiente como para ponerme a discutir sobre eso… no soy tan irresponsable, pero quería comentarlo de todos modos.

    2.    jlbaena dijo

      Yo tengo libreoffice y no he instalado java.

    3.    Juan Carlos dijo

      En el caso de Windows, afecta XP y 7. Windows 8 y Explorer 10 sin problemas. En la PC con Linux ya deshabilité en los navegadores, por si las moscas.

      1.    asd dijo

        solo basta con deshabilitar los plugins, no es necesario desinstalarlo

        1.    @Jlcmux dijo

          Que sentido tiene tener un plugins instalado y deshabilitarlo?

          1.    Juan Carlos dijo

            Que cuando se arregle el problema lo habilitas, me imagino que se actualizará con el parche.

          2.    asd dijo

            que cuando solucionen el problema y saquen una nueva versión los habilitas de nuevo, es lo mismo que dice Juan Carlos excepto por lo de los parches, ya que por más que los sacan parece que el problema persiste

      2.    @Jlcmux dijo

        Pues si usas Sun Java en Linux, eso demora un tiempo en actualizar. Sobretodo si usas Distros como Debian. Entonces por lo general o se compila o se instalan los .deb manual. Por lo tanto no se actualizan solos.

  9.   Alf dijo

    @Charlie-Brown
    Libreoffice instala openjdk, no te instala java, por ese lado no hay problema, ahora como dice msx, si

    1.    Blaire Pascal dijo

      Yupiiii, estamos seguros.

  10.   Rainbow_fly dijo

    Que tal openjdk?

    soy minecraftero.. no estoy dispuesto a abandonar tan facilmente 😛

  11.   aleexfrost dijo

    aver aclarenme una cosa, este error afecta a openjdk? porque por lo que se la mayoria de linux usan openjdk, porque por lo que lei es un bug o error de java de oracle

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.