Grave fallo de seguridad en Java hace los equipos más vulnerables

Java
Java

Ya hace varios días que se viene avisando de una vulnerabilidad detectada en las últimas versiones de Java y por si todavía hay algún despistado le recomendaremos que deshabilite el complemento para evitar posibles problemas. El fallo permitiría a los hackers acceder al equipo teniendo control total del mismo y puesto que Java se encuentra instalado en la gran mayoría de los equipos, conviene estar muy atento. Más aún teniendo en cuenta que la infección se produce de forma silenciosa, simplemente hay que visitar alguno de los sitios web donde el malware haya sido alojado para que nuestro equipo se vea infectado.  De esta forma, una vez que se infecta el equipo, se incluye un segundo programa malicioso bajo el nombre de Poison Ivy que es el que facilita el control del PC para los Hackers.

Para saber si nuestros equipos son vulnerables, la compañía de seguridad Rapid7 ha desarrollado un programa que nos permitirá verificar si tenemos una versión de Java vulnerable habilitada en nuestro equipo. Para ello  tendremos que acceder a la web http://www.isjavaexploitable.com/ (no disponible actualmente) desde donde podremos instalar el Software habilitado a tal efecto.

Puesto que Java está disponible en WIndows, OSX y Ubuntu, cualquier equipo basado en una de estas plataformas podría verse afectado, así que la recomendación en estos momentos es la de desactivar el acceso universal de Java en los distintos navegadores de los equipos al menos mientras Oracle saque algún parche para corregir esta vulnerabilidad.

Actualización de Java en OSX

Java
Java

Apple lanzó este martes día 8 una actualización de Java para su sistema operativo OSX. Esta actualización vendría a ofrecer la actualización a  Java SE 6 1.6.29 mejorando la estabilidad y seguridad para todas las aplicaciones que hagan uso de Java. La actualización de Java Estaría disponible para Snow Leopard (OSX 10.6) o Lion (OSX 10.7) y si no habéis actualizado todavía a través de la opción de actualizaciones automáticas, no dudéis en visitar el enlace correspondiente a vuestra versión y actualizar cuanto antes Java.

Actualización de Java para evitar que el equipo de Firefox lo retire de su navegador

Firefox navegador Web
Firefox navegador Web

En el mes de septiembre, surgieron los rumores de que el equipo de desarrolladores de Firefox estaría evaluando la posibilidad de eliminar Java debido a un exploit descubierto y bajo el nombre Beast, que sería capaz de romper el cifrado SSL/TLS poniendo así en entredicho la seguridad de la información confidencial de los usuarios. Chrome y Microsoft actuaron con parches de seguridad para evitar males mayores, pero el equipo de Firefox quiso hacer una llamada de atención a Orale, ya que con una actualización en la parte de Java se solucionaría el problema. Y finalmente Oracle ha decidido recoger el guante y han lanzado una actualización, que serviría para evitar este problema y que recomendamos a todos los usuarios del navegador Firefox que lo instalen para evitar cualquier posible problema.

¿Oracle dificulta el uso de Java en linux?

Que Oracle no es una compañía amiga de las cosas abiertas y libres es algo que todos tenemos ya muy claro a estas alturas de la partida. Sin embargo, parece que acaban de dar un paso más que esta vez afectaría a las distribuciones Linux. Como prefacio y para aquellos que los desconociesen Sun creó tiempo atrás la “Operating System Distributor License for Java” ( DLJ) en 2006. Esta licencia no libre permitía a los desarrolladores de distribuciones Linux empaquetar y distribuir las versiones de Java tanto de Sun -al principio- como de Oracle -después- en sus proyectos.

Java
Java

Pero lo que acaba de sucedes es que Oracle ha retirado esa licencia, ya que según alegan la implementación de Java proporcionada por Oracle es menos necesaria desde el lanzamiento de OpenJDK 6, concediendole a este proyecto una total confianza, además de estar como paquete por defecto en la gran mayoría de ditribuciones Linux (como por ejemplo Ubuntu). No obstante según algunos desarrolladores de Linux contrarios a esta decisión, todavía hay paquetes que siguen dependiendo del binario de Oracle y hay algunas incompatibilidades con OpenJDK.

Así pues, en este punto es de esperar, que tal y como afirman desde Oracle, el proyecto OpenJDK esté de verdad lo suficientemente maduro como para afrontar el camino sin los paquetes de Oracle.

 

Actualización de Java para OSX crítica

Se ha detectado un fallo de seguridad muy importante en la versión de Java para los ordenadores con OSX y para evitar problemas mayores apple ha publicado las correspondientes actualizaciones para solucionarlo. El fallo permitiría a un atacante ejecutar código arbitrario fuera del sandbox de Java para lo cual bastaría con que el usuario accediese a una página web con un applet de Java que permita explotar dicha vulnerabilidad. Esto permitiría al atacante conseguir  los privilegios del usuario que visitase la página con el applet malicioso (y como en muchos casos dicho usuario tendrá permisos de Administrador la cosa es delicada)

Los componentes afectados directamente por las vulnerabilidades críticas son ATS, ColorSync, CoreFoundation, CoreGraphics, ImageIO. Apple también advirtió sobre fallos de seguridad en MobileMe, MySQL, OpenSSL, QuickLook y QuickTime.

La actualización está disponible para sistemas Mac OS X v10.6.6 y Mac OS X v10.5.8 y es recomendable que se actualice la versión de Java cuanto antes para evitar posibles problemas (una vez más, y últimamente parecen extenderse bastante en la plataforma mac). A continuación tenéis los enlaces de descarga de las dos actualizaciones según la versión del sistema OSX instalado.

Java for Mac OS X 10.6 Update 5Java for Mac OS X 10.5 Update 10

 

La ejecución de plugins Quick Time y Java en Chrome ya no será automática

Hasta ahora los navegadores siempre habían permitido configurar si queríamos que la ejecución de plugins de Quick Time o Java se ejecutasen de forma automática. Esto ahorraba al usuario molestos avisos y agilizaba la navegación. No obstante, en Google han pensado que debido a los múltiples agujeros de seguridad que pueden presentar los plugins y a que los usuarios muchas veces no se preocupan de actualizar convenientemente el software de sus ordenadores, esa automatización no debería permitirse, y en las próximas versiones de su navegador Chrome se mostrará siempre un aviso al usuario para permitir o no la ejecución de esos plugins. Delicado movimiento de Google con su navegador, porque la mayoría de usuarios ya se han acostumbrado a la automatización en la ejecución de estas tareas y muchos no ven con buenos ojos esas insistentes preguntas (no olvidemos el aluvión de críticas que recibió el Control de cuentas de usuario en windows Vista con las preguntas que hacía para ejecutar ciertas aplicaciones que requerían de permisos). No obstante, de cara a la seguridad de los sistemas, la decisión es más que adecuada, contribuyendo a que el usuario pueda controlar adecuadamente que plugins se ejecutan y cuales no. ¿Acertada o no, pronto veremos la apuesta de Google en este sentido?

Apple actualiza Java

Tiempo atrás, Apple anunciaba que eliminarían java del sistema de actualizaciones automáticas sin embargo nos encontramos con la sorpresa que acaban de publicar la actualización número 9 de Java para MacOSX Leopard y la 4 para MacOSX Snow Leopard. Estas actualizaciones instalan la actualización 24 de Java 6 SE que Oracle ha liberado hace unos días y que solucionaba un grave error que arrastraba desde la actualización 21.

Por supuesto, es más que recomendable isntalar esta actualización, para evitar un posible agujero de seguridad en nuestros sistemas que permita la entrada de algún tipo de Malware. A continuación os dejamos los enlaces de ambas actualizaciones:

Descarga: Java 6 Update 9 para Leopard 10.5
Descarga: Java 6 Update 4 para Snow Leopard 10.6

Aunque si bien, también podéis utilizar vuestro sistema de actualizaciones automáticas para instalar la que corresponda.

Según parece esta será una de las últimas actualizaciones de Java 6, ya que según indicó Oracle, la versión 7 de Java estaría a punto de ver la luz. Hay que destacar además que esta versión 7 es obra del proyecto abierto OpenJDK al cual Apple se ha adscrito recientemente y por el cual Oracle a partir de MacOSX Lion será el encargado de proveer las versiones de Java y sus correspondientes actualizaciones. Por su parte las versiones anteriores del SO, Leopard y Snow Leopard recibirán las actualizaciones de Java resultado del trabajo de Apple, por lo que aunque quizás a un ritmo más lento, finalmente parece que se seguirá contando con el soporte.

Java ¿inseguro?

Como si de un vidente se tratara, Steve Jobs parece predecir el futuro de la informática. Y es que al igual que sucediese con la apuesta de dejar de lado Flash, parece que nuevamente va a acertar con otro de los pasos que va a dar Apple, la posibilidad de dejar un poco de lado ahora Java. Y es que según publica un reciente informe de la empresa de seguridad G Data Security Labs, en su Ranking de Malware en el mes de octubre de 2010 se ve como la tendencia en cuanto a ataques de malware, ha cambiado su objetivo fundamental que eran los documentos en Formato PDF para hacerse más presentes en archivos Java.

En concreto, en este ranking se han metido tres  vulnerabilidades, de las cuales la más activa es Java.Trojan.Exploit.Bytverify.N, localizada en sitios web hackeados que, mediante un applet manipulado de Java intenta infectar un PC mediante la táctica “drive-by-download”. Una vez descargado en los equipos, los atacantes pueden tomar el control del PC infectado.

Tal y como sugieren en el informe, hay que estar muy atentos, pues los ataques a la plataforma java ofrecen grandes posibilidades de distribución a los creadores de software dañino para nuestros ordenadores. Así pues toca estar muy atentos a cualquier actualización de Java ya que conviene cerrar todas las puertas posibles y tenerlas siempre bajo control.

Troyano descubierto para MacOSX

Hace poco hablabamos sobre el lanzamiento del antivirus de Panda y de como el creciente mercado de ordendores Apple, podría empezar a convertirse en un objetivo cada vez más jusgoso para los creados de software malicioso. Pues bien, según informan en SecureMac, han detectado un troyano que afectaría a las versiones Mac OSX 10.6 y que se extiende a través de las redes sociales. El modus operandi es un enlace a un video titulado «Is this you in this video?» (algo así como ¿estás tu en este video?). En el momento de hacer click en el enlace el troyano se ejecuta a modo Java Applet descargandose en el ordenador y modificando archivos de sistema para poder acceder libremente. En secure Mac han puesto a disposición de todos esta herramienta (enlace ya no disponible) para solucionar la infección.

¿Será esta la tónica de ahora en adelante? Esperemos que no, que la seguridad del sistema siga demostrando su efectividad y que los creados de software malicioso sigan con su mirada fija en otros puntos. No obstante está bien saber, que MacOSX no es invulnerable y que eso de «no hay virus o troyanos para mac» no es del todo cierto, siempre conviene estar atentos.