Todo lo que necesitas saber sobre las vulnerabilidades de Java

lunes, marzo 04, 2013
COMPARTE EL POST

Todo lo que necesitas saber sobre las vulnerabilidades de JavaDesde ya hace unos meses, si no es que años, Oracle, quien es el dueño de la tecnología Java está sufriendo por las recientes vulnerabilidades que empresas de seguridad y hackers han encontrado en la última versión, que es la 7. No pasa mucho tiempo desde que lanzan una actualización para la vulnerabilidad cuando descubren una nueva, y claro, esto poner las alertas a los usuarios que tienen en su equipo Java de una forma  u otra, es decir, ya sea porque lo descargaron para desarrollar, o porque algún sitio les pidió que lo instalaran.

Por eso en este post vamos a ver lo que necesitas saber sobre las vulnerabilidades de Java, porque hay varios mitos que se van formando, y necesitamos enfocarnos en la información para entender bien a quién afecta estas vulnerabilidades, y a quién no.

¿Qué es Java?

Java es un lenguaje de programación y una plataforma tecnológica que sirve para muchas industrias con el desarrollo de aplicaciones. De acuerdo con Oracle Corp. Java tiene presencia en más de 850 millones de equipos alrededor del mundo, incluyendo dispositivos móviles, televisiones, etc.

¿Cuál es el problema en realidad?

Empresas de seguridad y hackers han descubierto vulnerabilidades, o agujeros de seguridad, que estos hackers pueden aprovechar para tomar el control del equipo remoto, generalmente siendo infectado en sitios web maliciosos. El problema en realidad no es que se tenga Java instalado, sino que al momento de instalarlo se instala un plugin para que se pueda ver contenido Java en los navegadores web, estos son llamados applets, y son un predecesor de lo que hoy es el flash.

Muchos sitios actuales ya no incluyen la posibilidad de ver contenido usando Java, pero hay otros más viejos que lo requieren. Por defecto en los navegadores te preguntan si quieres permitir que se ejecute el plugin, en todo caso a menos que sea estrictamente necesario deberíamos decir siempre que no.

¿Cómo protejo mi computadora?

En realidad la versión que ha tenido más problemas es la 7, todo esto empezó desde que Oracle compró a Sun Microsystems, anterior propietario de Java. La forma más simple de protegerse es no instalar ya ninguna versión de Java. Muchas de las computadoras actuales ya no lo traen instalado por defecto, y en el caso de las Mac tampoco viene instalado.

¿Qué hago si ya lo tengo instalado?

Aquí hay dos opciones. Existe Java tanto para desarrolladores como para los usuarios comunes. Los desarrolladores lo que pueden hacer es instalar una versión anterior, como la 6, que es la que no ha tenido problemas tan graves como la 7. Los usuarios comunes pueden ir a la opción de aplicaciones y desinstalarlo encontrando el nombre.

Como tip adicional se puede bloquear el plugin en navegadores como Firefox o Google Chrome usando extensiones que permiten hacer eso.

¿Qué hago si un sitio web me pide habilitar o permitir el plugin?

Como les mencionaba arriba, hoy en día el diseño de sitios web modernos no contemplan el uso de Java para mostrar contenido, sobre todo porque esas posibilidades ahora son posibles con HTML5, CSS y Javascript. Sin embargo hay muchos sitios que requieren de Java para realizar alguna operación del lado del servidor y luego enviarles una respuesta.

Lo que más podría recomendar es que estos sitios que requieren Java es porque son sitios “ilegales” que tratan con contenido con derechos de autor, como sitios para ver películas, para descargar música, etc. Es estos casos es bajo su propia responsabilidad el habilitar el plugin, porque de lo contrario siempre deberíamos impedir que se ejecute.

¿Con Java 6 estoy más protegido?

Si y no. Java 6 es la última versión de Java que ha estado por mucho más tiempo en el mercado y el número de conflictos es por mucho muy menor a los problemas que está teniendo Java 7. A pesar de que es más seguro usar Java 6 no deja de ser indispensable que si no lo usamos, es decir, no somos desarrolladores, desinstalemos Java de nuestro equipo, o en todo caso evitar activar los plugins del navegador.

¿Si mi quipo es una Mac, estoy protegido?

Es una pregunta que tiene más de una respuesta. Desde el 2011 se no mal lo recuerdo Oracle ha estado teniendo problemas con Java, y Apple en un esfuerzo por proteger a sus usuarios decidió tomar una versión segura de Java y ponérsela a sus equipos. Tiempo después se descubrió que incluso esa versión de Java tenía problemas de seguridad y fue entonces que Apple optó por no incluir en Mac OS X alguna versión de Java.

Ahora, todavía se puede instalar Java en una Mac, pero esta opción sigue siendo exclusiva para la gente que quiera desarrollar aplicaciones con esta tecnología, por lo que la demás gente ya no debería preocuparse por instalar alguna versión de Java. La gente que ya tiene Java en su Mac debería recibir alguna actualización que puede resolver algunas de las vulnerabilidades importantes, ya que como les decía, no se puede desinstalar definitivamente, puesto que va integrado con el sistema operativo.

¿Si no visito sitios maliciosos estoy más protegido?

Si, el no visitar sitios web maliciosos o de alguna forma ilegales garantiza un poco más la seguridad de nuestro equipo si tenemos Java instalado, sin embargo no es una garantía de que podamos evitar algo malo. Hay sitios que podrían ser hackeados y luego podrían engañarte para descargar algún archivo que puede contaminar tu equipo haciendo uso de las vulnerabilidades de Java, pero en general el visitar sitios web específicos y confiables reduce considerablemente un posible ataque.

¿Se puede sólo desinstalar el plugin de mi equipo, no todo Java?

Si. El panel de control en Windows no muestra la opción para desinstalar sólo el plugin, pero pueden encontrar el archivo ejecutable en la siguiente dirección:

 C:\Program Files\Java\jre7\bin  or  C:\Program Files (x86)\Java\jre7\bin

el archivo se llama javacpl.exe

¿Hay alguna relación de Java con Javascript?

No, a pesar de que en el nombre se parecen bastante Java no tiene nada que ver con Javascript. Java es un lenguaje de programación Orientado a Objetos, que permite el desarrollo de aplicaciones de escritorio bajo el esquema de poder ejecutarse en cualquier sistema operativo que cuenta con la máquina virtual para eso. Javascript sin embargo, es un lenguaje script orientado a la web, y es la tecnología que posibilita la elaboración de sitios web dinámicos, o de las aplicaciones web. Javascript corre de forma nativa en todos los navegadores web y por la forma en que está diseñado es más seguro, aunque también puede ser vulnerado, pero no, no tiene nada de relación con Java.

¿Qué pasa si tengo Java en mi empresa?

Por desgracia para una empresa dejar de usar una tecnología no es una opción muy rentable, pero de igual forma ya que vimos que el verdadero problema de Java es el uso del plugin se podría desintalar de las computadoras sólo esa parte de Java. Otro consejo es que si tienen Java 6 sigan actualizando esta versión para conseguir la versión más reciente, y evitar cambiar a Java 7.

Si por en cambio tienen Java 7 como principal fuente en la empresa lo más recomendable es seguir instalando las actualizaciones que ofrece Java ya que de esta forma podrán usando la tecnología pero asegurando el menor de los daños a futuro.

¿Existe Java para dispositivos móviles, llámese smatphones, tablets, etc?

En su momento la empresa RIM usaba Java para su sistema operativo Blackberry, pero con su nuevo SO ya no es posible correr Java en un Blackberry. Los equipos de Apple como el iPhone y iPad no soportan Java, por lo que no hay peligro de ataque, de igual forma equipos con Windows Phone o Windows 8 de Microsoft. Sin embargo los equipos con Android usan Java como el lenguaje de programación, y la mayoría de Android está hecha en Java, por lo que de alguna forma su seguridad está u poco comprometida, pero lo bueno es que como Google está a cargo de esta versión de Java puede ofrecer actualizaciones más regulares. Otro punto a saber es que las vulnerabilidades que tiene Java en las computadoras no son las mismas que podría tener Android, por lo que una vulnerabilidad encontrada al usar applets no puede afectar a un dispositivo Android, porque en Android tampoco existen los applets.

Conclusiones

Para Oracle es una pesadilla que se sigan encontrando vulnerabilidades a Java, pero para nosotros los usuarios si tomamos medias básicas podemos despreocuparnos de cualquier problema, lo que si recomendaría es revisar constantemente las noticias sobre este tipo de vulnerabilidades, porque muchas veces hay otros programas que sufren de agujeros que pueden aprovechar los hackers para el robo de información o la propagación de algún virus.

¡Síguenos en Twitter!


Deja tu comentario