Noticias

Vulnerabilidad de Java: recomendaciones del CERTuy

28/02/2013
Se dio a conocer una vulnerabilidad de Java que afecta a las versiones 7, actualización 10 y anteriores, que permite al atacante ejecutar de forma remota código malicioso. Esta vulnerabilidad ya está incluida en los exploits más utilizados y afecta a todos los Sistemas Operativos. El CERTuy propone algunas recomendaciones.

Se dio a conocer una vulnerabilidad en Java que afecta a las versiones de Java 7, actualización 10 y anteriores, que permite al atacante ejecutar de forma remota código malicioso. Esta vulnerabilidad ya está incluida en los exploits más utilizados y afecta a todos los Sistemas Operativos.

En Agosto de 2012 Oracle liberó un parche para Java en cual dejaba la aplicación vulnerable (como se dio a conocer horas después). De forma inmediata se lanzó una parche que solucionaba parcialmente el problema.

Luego de que saliera el paquete de la versión 10, el 14 de Enero, Oracle liberó la actualización 11 para Java 7 solucionando algunos de los problemas de seguridad y cambiando la configuración de seguridad a nivel alto, lo cual dificulta al atacante, pero no lo detiene. La actualización fue anunciada por Oracle en una entrada de blog:
Hemos llevado a cabo una actualización que corrige dos vulnerabilidad en la versión de Java 7 para los navegadores web. También hemos cambiado la configuración de seguridad de Java de nivel medio a alto por defecto, lo que permitirá un acceso más difícil a programas sospechosos sin el conocimiento del usuario.

¿Es seguro usar Java? La respuesta es no. HD Moore, director de seguridad de Rapid7 (compañía que da asistencia para identificar vulnerabilidades y fallos críticos de seguridad) decía lo siguiente:

Creemos que le podría llevar a Oracle alrededor de dos años arreglar todos los errores de seguridad. A día de hoy es fácil suponer que Java va a continuar siendo vulnerable. Realmente el usuario no necesita Java en su escritorio.

Mientras que esta vulnerabilidad es reparada, se recomienda la desactivación de Java. En caso de que su uso sea imprescindible se recomienda utilizar un navegador alternativo al de uso habitual. Por ejemplo si su navegador predeterminado es Google Chrome desactivar en este Java y para acceder a los contenidos que lo necesitan emplear Mozilla Firefox.

Para desactivarlo en Windows, ir a Inicio -> Panel de Control -> Java, lo que abrirá una ventana con las preferencias de este componente. En esa ventana vamos a la pestaña “Java” y pinchamos en “Ver”, lo que hará que veamos las versiones de Java instaladas. Habrá que desactivar la casilla de Java 1.7 y aceptamos los cambios.

Cómo desactivar Java en los distintos navegadores

Internet Explorer

  • Acceder al menú Herramientas > Opciones de Internet
  • Pestaña Programas > Administrar complementos
  • Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7
  • Pulsar sobre el botón Deshabilitar y cerrar la ventana


Mozilla Firefox

  • Acceder al menú Herramientas > Complementos
  • Acceder al apartado de Plugins
  • Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)
  • Pulsar sobre el botón Desactivar


Google Chrome

  • Escribir “chrome://plugins/” en la barra de direcciones del navegador para acceder al menú de plugins.
  • Buscamos el plugin de Java y pulsamos sobre Inhabilitar


Safari

  • Accedemos al menú Preferencias > Apartado “Seguridad”
  • Desmarcamos la opción “Permitir Java”


Opera

  • Acceder al administrador de plugins introducciendo “operalugins” en la barra de direcciones.
  • Desactivar Java.