Ayer, informamos de que una nueva actualización que la empresa propietaria, Oracle, lanzó, solucionaba el problema de seguridad que se descubrió días atrás en Oracle Java, el cual podía permitir un atacante instalar y ejecutar programas e incluso formar parte de una bootnet al sistema afectado. Algunos expertos en seguridad creen, que incluso con la actualización Update 11, todavía no se protege totalmente a los PCs de los ataques informáticos e incluso uno de ellos afirma que al desarrollador Oracle le podría costar dos años solucionar totalmente los problemas encontrados en su producto. Más detalles a continuación.
La vulnerabilidad zero-day encontrada en Java días atrás, no ha sido totalmente parcheada según los expertos. El director de seguridad de Rapid7, HD Moore, que es una empresa con sede en Boston la cual gestiona y ayuda a otras a encontrar e identificar vulnerabilidades críticas en sus productos realizando para ello varias pruebas y test, (Wikipedia) afirma en reuters.com, que a Oracle le podría costar todavía dos años solucionar todos los problemas de seguridad encontrados en su producto, ya que la actualización Java Update 11, aún tiene algunos fallos, bugs, que podrían ser detectados y aprovechados por los hackers. HD Moore prosigue diciendo, que llegados a este punto es justo suponer que Java va a ser siempre vulnerable y que los usuarios no necesitan Java en su escritorio, según las propias palabras de Moore.
La solución que desde el blog de Oracle nos ofrecen, es que los usuarios pueden entrar en el panel de control de Java y ajustar el nivel de seguridad cuando se ejecutan aplicaciones sin firmar dentro de un navegador web. A partir de la actualización liberada Update 11, el nivel de seguridad predeterminado se ha cambiado de medio a alto, lo que según Oracle hace más difícil a los programas sospechosos ejecutarse en un ordenador personal sin el conocimiento del usuario, pero sin embargo Moore afirma y cree que en este momento los únicos que realmente necesitan Java son las empresas que lo utilizan para sus negocios, no el usuario normal, reiterándose en las palabras descritas más atrás.
Apple también liberó su parche:
En su blog, Oracle, comenta y asegura, que su actualización ha resuelto dos vulnerabilidades encontradas en la versión de Java 7 para los navegadores web, pero el plugin para los navegadores sigue planteando riesgos incluso después de instalar el parche. Por otro lado, la empresa de seguridad Kaspersky comenta que el producto de Oracle ha estado presente en el cincuenta por ciento de los ataques cibernéticos para PCs en el año 2012, superando incluso a Adobe Reader, que ha estado presente en el 28 por ciento de los incidentes, por lo que Java se ha convertido en el objetivo prioritario para los piratas informáticos, de acuerdo con la afirmación y estudio del fabricante de programas de seguridad Kaspersky Labs.
Vías: reuters.com, blogs.oracle