Java: la corrección de seguridad lanzada hace poco no ha surtido efecto

Java ha tenido siempre problemas de seguridad, que en ocasiones han sido extremadamente graves. Ahora las últimas vulnerabilidades parecían cosa del pasado pero algunos expertos de seguridad han descubierto que no es así.

java logo

A estas alturas hablar de Java y la seguridad suena a contradicción, o al menos a dos cuestiones que no pegan bien si las ubicamos en la misma oración. Han habido vulnerabilidades demasiado serias como para dejarlas pasar por alto, y aunque los esfuerzos de Sun y de Oracle -anteriormente y a partir de la adquisición respectivamente- han estado dirigidos a solucionarlas, lo cierto es que pocas veces han tenido éxito en ello.

Y así, ahora un grupo de investigadores de seguridad ha descubierto un nuevo bug que permite a los atacantes a un sistema infectado el saltearse las protecciones de seguridad que llegaron en Java 7 Update 10, destinadas justamente a prevenir el malware.

Como recordarán quienes hayan seguido con atención el caso, que por cierto ha dado mucho que hablar puesto que las vulnerabilidades estuvieron al descubierto durante bastante tiempo, las correcciones que Oracle trajo requieren que en los casos de código Java no firmado digitalmente este sea ejecutado en forma explícita por los usuarios, quienes además también tienen la posibilidad de prevenir la ejecución de applets de Java, algo que fue muy bien recibido por los expertos de seguridad ya que afirmaban que reduciría en forma drástica los ataques.

Pero todo esto ha quedado reducido a buenas intenciones y al parecer los hackers igual están teniendo bastante éxito en sus intentos por acceder a sistemas supuestamente protegidos por esa actualización, lo cual permitiría la ejecución de código malicioso sin que se alerte al usuario de la misma. Pruebas de estos ataques han sido enviadas a Oracle por parte de Security Explorations (en concreto, a través de uno de sus expertos, Adam Gowdiak) la firma polaca que ha descubierto los bugs (que totalizan 53) en esta ocasión, pero Oracle no ha confirmado ni desmentido el hallazgo por lo que hasta que no haya notificación oficial convendrá estar bien atentos.

Via Seclists

Valora esta noticia: 1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (0 votos, media: 0,00 de 5)
Loading ... Loading ...