Video: Java ¿Que es y para que SIRVE?, ¿Porque tengo que Actualizar Java? (Noviembre 2024)
Oracle ha emitido otra actualización de emergencia para Java. Esta es la tercera actualización de emergencia que la compañía lanzó en 2013 para solucionar problemas de seguridad en Java que ya se estaban utilizando en ataques.
Las últimas actualizaciones, Java 7 actualización 17 y Java 6 actualización 43, abordaron CVE-2013-1493 y una vulnerabilidad relacionada (CVE-2013-0809), dijo Oracle en su aviso de seguridad publicado el lunes. Ambas vulnerabilidades afectan el componente 2D de Java SE, que maneja gráficos en tiempo de ejecución y cómo se representan las imágenes, según una publicación de blog de Eric Maurice, director de garantía de seguridad de software de Oracle.
Todos los usuarios de Java deben actualizar inmediatamente a las últimas versiones, dijo la compañía.
"Estas vulnerabilidades pueden explotarse de forma remota sin autenticación, es decir, pueden explotarse a través de una red sin la necesidad de un nombre de usuario y contraseña", escribió Oracle.
Los atacantes pueden engañar a los usuarios desprevenidos para que visiten un código de alojamiento de una página web maliciosa que desencadena esos defectos de seguridad, dijo Oracle. Los investigadores descubrieron ataques en la naturaleza infectando las computadoras de los usuarios con el troyano de acceso remoto McRAT. McRAT contacta a los servidores de comando y control y se copia en los procesos del sistema operativo Windows.
Las vulnerabilidades, si tienen éxito, "pueden afectar la disponibilidad, integridad y confidencialidad del sistema del usuario", escribió Oracle.
Muchas actualizaciones, deshabilítalas si puedes
Oracle actualizó Java a mediados de enero y nuevamente a principios de febrero con actualizaciones de emergencia después de que surgieron informes durante la Navidad de una serie de ataques al estilo de pozos que afectan a varios sitios. La compañía lanzó una actualización programada para solucionar 50 errores el 19 de febrero. Estos dos errores se informaron a Oracle el 1 de febrero, pero no se pudieron incluir en la actualización del 19 de febrero, escribió Maurice.
Teniendo en cuenta que la próxima actualización programada de Java fue en abril, la compañía decidió lanzar un parche fuera de banda porque la falla se estaba utilizando activamente en los ataques.
"Para ayudar a mantener la postura de seguridad de todos los usuarios de Java SE, Oracle decidió lanzar una solución para esta vulnerabilidad y otro error estrechamente relacionado tan pronto como sea posible", escribió Maurice.
Maurice aseguró a los usuarios que los problemas están presentes solo en aplicaciones Java que se ejecutan en navegadores web, y no se aplican a Java que se ejecuta en servidores, aplicaciones de escritorio Java independientes o aplicaciones Java integradas, o software basado en servidor Oracle. Muchos expertos en seguridad y el Equipo de Respuesta a Emergencias Informáticas del Departamento de Seguridad Nacional (CERT) recomiendan que los usuarios deshabiliten el complemento Java en sus navegadores si no lo usan regularmente.
Si el usuario necesita Java, que cubre a una gran mayoría de usuarios empresariales y educativos, vale la pena mantener un navegador separado con el complemento Java instalado, y usar ese navegador para acceder solo a esos sitios.
"Es bueno ver que Oracle responde más rápido a las vulnerabilidades críticas, pero ya es hora de que profundicen en los problemas de seguridad de Java", dijo a SecurityWatch Lamar Bailey, director de investigación y desarrollo de seguridad de nCircle. "Espero que Oracle ya haya asignado un equipo de sus mejores ingenieros de seguridad para eliminar de manera proactiva cualquiera de los problemas de seguridad de Java restantes, pero hasta entonces los usuarios actualizarán Java con la frecuencia que actualizan las firmas AV", dijo.
Java 6 entró al final de su vida útil en febrero, lo que generó preocupaciones sobre si Oracle dejaría o no la versión anterior sin parchear. Oracle parcheó Java 6 en esta actualización, que todavía utilizan muchos usuarios. No está claro cómo Oracle manejará los parches para Java 6 en los próximos meses.
"Siempre pensé que Oracle hizo un buen trabajo al asegurar sus productos, pero la reciente erupción de vulnerabilidades de Java me está haciendo perder la fe", dijo Bailey, y agregó que ahora se pregunta qué tipo de problemas de seguridad graves hay en los otros productos de Oracle.
Más errores de Java encontrados
En un juego continuo de gato y ratón, una actualización de Java significa que es hora de más revelaciones de vulnerabilidad. Adam Gowdiak, jefe de la firma de investigación polaca Security Explorations, encontró otros cinco problemas de Java 7.
"Se descubrieron cinco nuevos problemas de seguridad en Java SE 7 (numerados del 56 al 60), que cuando se combinan juntos se pueden usar con éxito para obtener un bypass de seguridad de Java completo en el entorno de la actualización 15 de Java SE 7", escribió Gowdiak el lunes. Lista de correo de Bugtraq. Parece que los atacantes podrían usar los problemas para romper algunas de las verificaciones de seguridad que Oracle implementó recientemente, dijo Gowdiak. Los cinco problemas deben usarse juntos para que el ataque tenga éxito. Gowdiak ya ha presentado información detallada y código de prueba de concepto a Oracle.
Dos de los problemas también pueden afectar a Java 6, pero eso no se ha confirmado.
"Java está demostrando ser el regalo que sigue dando a los atacantes", dijo Andrew Storms, director de operaciones de seguridad de nCircle, a SecurityWatch . Predijo ataques más selectivos contra grandes corporaciones y entidades gubernamentales. "Las malas noticias con Java siguen empeorando y no hay un final a la vista", dijo.
