Duke, the Java Mascot, in the waving pose. Duke images are now Free Graphics see duke:Project Home Page for more details. (Photo credit: Wikipedia)Nueva actualización de Java para prevenir posibles intrusiones.
Las versiones anteriores de Java poseían un pequeño bug que
convertían a las PC que tenían instalado dentro de sus sistemas la maquina
virtual de Oracle en posibles victimas de ataques cibernéticos. La nueva
actualización de Java en su versión 2013 tiene como principal característica
terminar con este problema.
Detalles del problema
Java Runtime Environment (JRE) de Oracle permite al usuario
ejecutar aplicaciones Java en un navegador o incluso como programas
independientes. El plugin de Java JRE proporciona su propio administrador
de seguridad. Normalmente cualquier applet (programa basado en Java) se ejecuta
con un administrador de seguridad proporcionado por el navegador o por el
plugin "Java Web Start".
Según apunta el documento explicativo de oracle "Si ya
hay un administrador de seguridad previamente instalado, este método primero
"llama" al método checkPermission del mismo, con la
variable aRuntimePermission("setSecuritymanager") para
asegurarse de que es seguro reemplazar la anterior versión del administrador de
seguridad. Esto puede resultar en la generación de una exceción de seguridad
o SecurityException.
Impacto
Convenciendo a un usuario de visitar un documento html
especialmente modificado, un atacante podría ejecutar código arbitrario en el
sistema vulnerable. Hay que tener en cuenta que aplicaciones que usan
los componentes de renderizado web de Internet Explorer, como
Microsoft office o Windows Desktop Search, podrían ser empleados como vector de
ataque para estas vulnerabilidades.
Medidas a tomar
Actualización del complemento
Hemos comentado las versiones afectadas de la plataforma,
por lo que lo primero es actualizar Java a la versión Java 7 update 13 o Java 6
update 39 (depende de la versión que usemos). Si tenemos las actualizaciones
automáticas activadas no tendremos que realizar ninguna acción. Si queremos
descargarlo manualmente nos dirigiremos a http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html.
Desactivando los applets
Desactivando los applets
Los usuarios normales pueden simplemente desactivar tales
complementos de sus respectivos navegadores.
Los administradores de redes a nivel empresarial que no
puedan permitirse desactivar el complemento, pueden realizar algunos pasos para
mitigar los riesgos, para ello tendrán que restringir el acceso a los applets
de Java. Esto puede realizarse mediante reglas de proxy configuradas, por
ejemplo. Se pueden bloquear o añadir a Whitelist (excluir) peticiones web hacia
archivos .jar y .class para impedir que los datos sean
usados por fuentes no confiables.
Con esta nueva actualización de Java se prevé solucionar los
detalles comentados haciendo de este lenguaje multiplataforma un poco más
seguro para el uso hogareño.
Gracias por leer Tecnoarroba
y ya saben si quieren pueden dejar alguna sugerencia pueden hacerlo mediante
los comentarios.
No hay comentarios:
Publicar un comentario