Video: El ACCESORIO HACKER de COLD WAR (ilegal) | RTD #5 (Noviembre 2024)
En junio, le contamos cómo Oracle se comprometió a mejorar con Java y actualizar la plataforma con mayor frecuencia. Este fue el punto culminante de una serie de episodios embarazosos en los que Java se utilizó una y otra vez para atacar a los usuarios. Esta semana, Oracle lanzó la primera de una nueva serie de actualizaciones para Java, que esperan hará que los tres mil millones de dispositivos que ejecutan su producto sean más seguros. Eso podría ser cierto, pero la actualización es terriblemente grande con implicaciones igualmente aterradoras.
Parcheando más rápido
Anteriormente, Java se actualizaba tres veces al año, pero a partir de esta semana se actualizará trimestralmente junto con el resto de los productos de Oracle como parte de su Actualización de parche crítico, o CPU (veo lo que hiciste allí, Oracle).
En conjunto, la actualización incluye 127 correcciones de seguridad. De estos, 51 son para Java y, aquí está la parte que da miedo, 50 de esas vulnerabilidades pueden, en palabras de Oracle, "ser explotables de forma remota sin autenticación".
Pero oh, se pone mejor. En el blog de Qualys, el CTO Wolfgang Kandek escribe "12 vulnerabilidades que tienen el puntaje CVSSv2 más alto de 10, lo que indica que estas vulnerabilidades se pueden usar para tomar el control total sobre la máquina atacada a través de la red sin requerir autenticación". Continúa señalando que la mayoría de las actualizaciones afectan a los usuarios de computadoras portátiles y de escritorio (por ejemplo, usted, leyendo esto, en este momento), pero hay dos actualizaciones muy críticas relacionadas con las instalaciones del servidor.
¡Hora de actualizar!
La mayoría de los usuarios probablemente recibirán actualizaciones automáticamente, pero, para estar seguros, Oracle ha proporcionado una página útil para probar qué versión está ejecutando. Si detecta una instalación desactualizada, le pedirá que descargue e instale la actualización. Tenga en cuenta que la versión más reciente a partir de esta semana es la actualización 45 de Java 7.
Voy a tomar un segundo rápido para recordarle a los usuarios que tengan mucho cuidado al actualizar Java manualmente, ya que tratará de convencerlo de que instale la barra de herramientas Ask.com y cambie su motor de búsqueda predeterminado a Ask.
¿Demasiado poco?
Si bien es bueno ver a Oracle intensificando su juego de seguridad, no todo el mundo se entrometió en el movimiento de Oracle. El asesor de seguridad sénior de Sophos, Chester Wisniewski, escribió en el blog de su empresa que parece demasiado poco y demasiado tarde. "Si su reputación es tan pobre y expone a más de mil millones de usuarios a sus fallas, debe responder más rápidamente".
Wisniewski continuó insinuando que las prioridades de Oracle estaban desalineadas, y tuvo la audacia de atacar el barco con la marca Oracle de Larry Ellison que recientemente ganó la Copa América. "Ponga el premio en el estante de su lobby, venda el bote de diez millones de dólares y contrate a los ingenieros necesarios para actualizar el ciclo de parches de Java a mensual con el dinero extra", escribió Wisniewski. "Más de 3 mil millones de dispositivos te lo agradecerán".
Actualizar su instalación de Java es la mejor manera de mantenerse protegido contra los ataques basados en Java, que están integrados en muchos kits de exploits y que los atacantes utilizan con frecuencia. Por supuesto, siempre puede desconectar y desactivar Java por completo.
