martes, 22 de enero de 2013

Nuevas debilidades de Java (18 enero 2013)


El 14 de enero comentaba de una confusión en el parche de Oracle para Java que salió el domingo 13 de enero. La conclusión era que el parche solucionaba una de dos debilidades y que con eso se frenaba un ataque exitoso.

Todo bien hasta ahí.

Hasta que el investigador Gowdiak de nueva cuenta publicó otras 2 debilidades de día cero para Java el viernes 18. 

Estas nuevas debilidades tienen un par de “restricciones” Con el parche de Oracle del domingo 13 (Java 7 Update 11), el fabricante añadió una característica de seguridad que impide que applets no firmados o auto-firmados se ejecuten automáticamente. Lo anterior significa que aparecerá una ventana diciéndote si quieres ejecutar ese applet “desconocido”. Conociendo a los usuarios, dirán que sí a la ejecución, así es que eso no será un gran mitigante. Pero bueno, algo es algo.

Por otro lado, si el atacante consigue un certificado digital válido, podrá hacer que ese applet se ejecute sin preguntar nada al usuario.

Como nota curiosa, en un foro de hackers se llegó a anunciar la semana pasada que se tenía una debilidad de día cero para Java. Totalmente nueva y al parecer diferente a las que hemos estado comentando aquí. Tiene un costo de $5,000.°° USD. Se ofrecía sólo a dos compradores. El anuncio ha desaparecido hoy día. 

Total que como siempre, la recomendación es: a) No usar Java, es decir, desinstalarlo. b) Usarlo inteligentemente. c) Tener dos navegadores: usar uno con Java sólo para sitios que lo exijan y otro navegador sin Java para el día a día.

Recuerden, vivir sin Java es de lo más sencillo (salvo un par de excepciones) y lo que muchas páginas están usando es JavaScript, no Java (JavaScript es otra cosa que Java). Así es que tomen la mejor decisión segura.