El 14 de
enero comentaba
de una confusión en el parche de Oracle para Java que salió el domingo 13 de
enero. La conclusión era que el parche solucionaba una de dos debilidades y que
con eso se frenaba un ataque exitoso.
Todo bien
hasta ahí.
Hasta que el
investigador Gowdiak de nueva cuenta publicó otras 2 debilidades de día
cero para Java el viernes 18.
Estas nuevas
debilidades tienen un par de “restricciones” Con el parche
de Oracle del domingo 13 (Java 7 Update 11), el fabricante añadió una característica
de seguridad que impide
que applets no firmados o auto-firmados se ejecuten automáticamente. Lo
anterior significa que aparecerá una ventana diciéndote si quieres ejecutar ese
applet “desconocido”. Conociendo a los usuarios, dirán que sí a la ejecución,
así es que eso no será un gran mitigante. Pero bueno, algo es algo.
Por otro
lado, si el atacante consigue un certificado digital válido, podrá hacer que
ese applet se ejecute sin preguntar nada al usuario.
Como nota
curiosa, en un foro de hackers se llegó a anunciar
la semana pasada que se tenía una debilidad de día cero para Java. Totalmente
nueva y al parecer diferente a las que hemos estado comentando aquí. Tiene un
costo de $5,000.°° USD. Se ofrecía sólo a dos compradores. El anuncio ha
desaparecido hoy día.
Total que
como siempre, la recomendación es: a) No usar Java, es decir, desinstalarlo. b)
Usarlo inteligentemente.
c) Tener dos navegadores: usar uno con Java sólo para sitios que lo exijan y otro
navegador sin Java para el día a día.
Recuerden,
vivir sin Java es de lo más sencillo (salvo un par de excepciones) y lo que
muchas páginas están usando es JavaScript, no Java (JavaScript es otra cosa
que Java). Así es que tomen la mejor decisión segura.
No hay comentarios:
Publicar un comentario