Oracle ha lanzado dos parches para solucionar los fallos de seguridad que afectan a su lenguaje de programación Java y que suponen un “alto riesgo” para los usuarios de Internet.
Los fallos de seguridad fueron descubiertos el pasado jueves por un experto en seguridad francés, conocido como Kafeine, quien señaló que la vulnerabilidad en Java “podría suponer el caos”.
Eric Maurice, de Oracle, ha recomendado, en el blog de seguridad de la compañía, que se instalen “lo antes posible” estas actualizaciones, ya que los fallos pueden ser explotados “en estado salvaje” y algunos exploits “están disponibles a través de varias herramientas de hacking”.
Cabe señalar que estas dos vulnerabilidades exponen a los usuarios a un ataque de un “applet”, es decir, una aplicación Java que se descarga desde otro servidor y que se ejecuta si el usuario tiene instalado el lenguaje de programación de Oracle. Los “applets” están embebidos en páginas Web y se ejecutan desde el navegador.
Si un usuario visita una página Web en la que se haya instalado este exploit, el software malicioso se puede descargar en el equipo sin que éste se de cuenta. Este tipo de ataques está considerado como uno de los más peligrosos.
El primer parche resuelve la vulnerabilidad CVE-2013-0422 que afecta a Java 7 (1.7) Update 10 y funciona en todas las versiones de Internet Explorer, Firefox y Opera, excepto en Chrome. Esto incluye Java Platform Standard Edition 7, Java SE Development Kit y Java SE Runtime Environment.
El segundo parche lanzado por Oracle repara la vulnerabilidad en Java CVE-2012-3174, que afecta a navegadores Web. Esta vulnerabilidad puede ser explotada de manera remota y engaña a los usuarios para que estos naveguen por páginas Web “trampa”.
Eric Maurice también informa del cambio que se ha realizado en los requerimientos de seguridad y, a partir de ahora, la seguridad “alta” está instalada por defecto.
Asimismo, este martes Oracle va a lanzar 86 parches que cubren vulnerabilidades que afectan a diversos productos, entre ellos, 18 problemas que afectan a MySQL (dos de éstas pueden ser explotadas sin que se solicite nombre de usuario o contraseña).
EU aconseja a los usuarios desactivar Java
Mientras tanto, el Departamento de Seguridad Interna de Estados Unidos asegura que, a pesar de los parches de emergencia lanzados por Oracle, Java sigue siendo peligroso y recomienda a los usuarios que lo desactiven.
Tal y como publica Reuters, el Departamento de Estados Unidos ha asegurado que Java continúa siendo peligroso y recomienda a los usuarios que, al no ser que sea absolutamente necesario, desactiven Java.
“Al no ser que sea absolutamente necesario el uso de Java en los navegadores Web, desactívenlo”, asegura, en un mensaje publicado en su página Web, el Departamento de Equipo de Seguridad Nacional de Preparación para Emergencias Informáticas.
Cabe recordar que Oracle lanzó, este fin de semana, dos parches de seguridad con el que pretendía solventar los problemas descubiertos por el experto de seguridad Kafeine el pasado jueves.
El Gobierno de Estados Unidos no ha sido el único que ha advertido sobre los problemas de seguridad de Java. Así, expertos de seguridad han alertado sobre la posibilidad de que aquellos PC en los que esté instalado Java podría ser atacados por criminales que buscarían robar números de tarjetas de crédito, credenciales bancarias, contraseñas, etc…
Asimismo, también han señalado que los problemas de seguridad de Java no son nuevos. “No es que Java sea inseguro de repente. Ha sido inseguro durante años” ha tuiteado Charlie Miller, ingeniero informático que ha trabajado como consultor de seguridad en empresas pertenecientes a Fortune 500 y ha sido analista en la Agencia de Seguridad Nacional de Estados Unidos.
Kaspersky Lab ha asegurado que Java fue el responsable del 50 por ciento de los ciberataques producidos el año pasado.