Java casi es un virus para Apple, Mozilla y el Departamento de Seguridad Nacional de EE.UU.
Mientras ya han confirmado que el vulnerabilidad de Java (con exploit activo activo desde el 17 de diciembre) se encuentra desde la versión 1.4 y superiores, el Departamento de Seguridad Nacional de EE.UU. recomienda no utilizar el plugin de Java. Desde Washington la voz de alerta es clara: como no existe una solución conocida hasta el momento, no uses Java.
Además, Apple también le ha tomado el peso a la situación y lanzó una pequeña actualización donde se desactiva automáticamente Java 7 en Mac. Apple lanzó esta actualización para su herramienta XProtect agregando una protección "contra" el plugin de Java y, si lo encuentra lo desactiva.
Mozilla no se quedó atrás y ha puesto en marcha un procedimiento casi idéntico. Mozilla ha añadido todas las versiones actuales de Java a su lista de plugin bloqueados (verificar extensiones en Firefox) y forzará a los usuarios a utilizar la funcionalidad Click to Play donde se solicita la autorización del usuario para ejecutar la aplicación.
El 0-day no habría funcionado si Oracle habría abordado adecuadamente una vieja vulnerabilidad. De acuerdo a Security Explorations, quien analizó la vulnerabilidad, a finales de agosto de 2012, la empresa informó sobre la implementación insegura en un Reflection API y en octubre Oracle lanzó un parche, pero el arreglo no fue definitivo ni completo. Así que el nuevo ataque es una combinación de dos vulnerabilidades.
Cristian de la Redacción de Segu-Info
Además, Apple también le ha tomado el peso a la situación y lanzó una pequeña actualización donde se desactiva automáticamente Java 7 en Mac. Apple lanzó esta actualización para su herramienta XProtect agregando una protección "contra" el plugin de Java y, si lo encuentra lo desactiva.Mozilla no se quedó atrás y ha puesto en marcha un procedimiento casi idéntico. Mozilla ha añadido todas las versiones actuales de Java a su lista de plugin bloqueados (verificar extensiones en Firefox) y forzará a los usuarios a utilizar la funcionalidad Click to Play donde se solicita la autorización del usuario para ejecutar la aplicación.
El 0-day no habría funcionado si Oracle habría abordado adecuadamente una vieja vulnerabilidad. De acuerdo a Security Explorations, quien analizó la vulnerabilidad, a finales de agosto de 2012, la empresa informó sobre la implementación insegura en un Reflection API y en octubre Oracle lanzó un parche, pero el arreglo no fue definitivo ni completo. Así que el nuevo ataque es una combinación de dos vulnerabilidades.
Cristian de la Redacción de Segu-Info
No entiendo como todavía se hacen programas basados en "Java"
ResponderBorrar