Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Ver el tema anterior Ver el tema siguiente Ir abajo

Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por gbp el Miér Ago 29 2012, 11:52

Más detalles sobre la vulnerabilidad que posee Java 7

En el día de ayer os informábamos acerca de un agujero de seguridad que había sido detectado en Java, más concrétamente en la versión 7. En ese momento se sabía poco acerca de esta vulnerabilidad, sólo que afectaba a todos los navegadores y que permitía la ejecución de cualquier programa en un equipo de forma remota.

Tras un día de investigaciones, los expertos en seguridad han indicado que un fallo en la programación de los paquetes de Java es el desencadenante de todo este problema. Los expertos en seguridad también han afirmado que es recomendable que se deshabiliten las extensiones que utilicen Java de los navegadores para poder evitar que esta vulnerabilidad sea utilizada por terceras persona para tomar el control del equipo.

A continuación puedes conocer más detalles sobre el agujero de seguridad.

Lo peor de todo esto, es que cualquiera que tenga ciertas nociones de programación puede utilizar el agujero de seguridad. Tal y como indicábamos con anterioridad, expertos en seguridad han llegado hasta lo que parece ser es la base del problema. De momento, Oracle no ha vertido ningún tipo de comunicado ni ha anunciado ninguna actualización para resolver el problema.

Fallos en la programación de una librería

Para que todos seáis capaces de entender el problema, Java esta formado por miles de librerías, y estas librerías a su vez contienen métodos que pueden ser utilizados por los programadores para desarrollar aplicaciones o bien pueden ser usados por las propias aplicaciones, en este caso, las extensiones de los navegadores.

Parece ser que en la clase sun.awt.SunToolkit que posee Java 7, se han añadido y modificado métodos que permiten desactivar el SecurityManager de Java, es decir, el SandBox, que no es ni más ni menos que una forma de separar procesos sospechosos y que éstos se ejecuten de forma segura sin causar daños al sistema.

Para los que tenéis ciertas nociones de programación o habéis incluso seguido nuestro url=http://www.redeszone.net/curso-java-online-recopilacion-de-articulos/]Curso de Java[/url], sabéis que los métodos pueden ser públicos o privados. El que sean públicos implica que cualquiera puede tener acceso a su ejecución. Si encima este método posee llamadas a otros métodos también se tendría acceso a las llamadas de éstos.

En esta versión de Java, uno de los métodos que son añadidos es el método execute(). Un fallo en la programación de este método ha derivado en que se tenga acceso al método getField(), que a priori debería ser “oculto”.

Acceso total para permitir la ejecución de cualquier instrucción o sentencia Java

El fallo de seguridad mencionado con anterioridad hace que una tercera persona pueda crear objetos que definen el nivel de seguridad de Java, es decir, los permisos de ejecución. Para esto se ayuda del método getField() para crear un objeto AccessControlContext y que una vez creado le permitirá desactivar la SandBox utilizando la siguiente instrucción: System.setSecurityManager(null).

Una vez ha conseguido hacer esto, el atacante es capaz de instalar y ejecutar cualquier comando en o programa en el equipo.

Desde el formateo del disco duro, hasta la instalación de aplicaciones

Gracias a este fallo de seguridad, el atacante tendría control total sobre el equipo afectado. Podría hacer cualquier tipo de acción, desinstalar programas, instalar los programas que él quiera, transferir archivos que se encuentren en el equipo afectado al suyo, formatear el disco, …. Estamos hablando de un control total sobre el equipo.

Deshabilitar las extensiones de los navegadores de forma inmediata

Los expertos en seguridad recomiendan encarecidamente deshabilitar cualquier actividad que Java pueda llevar a cabo en los navegadores Safari, Opera, Firefox, Chrome e Internet Explorer.

A continuación os indicamos una serie de pautas que debéis seguir hasta que Oracle publique alguna actualización:


  • Desactivar las extensiones de Java.
  • En las páginas web que sea necesaria la utilización de Java, utilizar Firefox con el complemento No-Script.
  • Si utilizas Google Chrome, deshabilitar los complementos afectados (Lista de complementos disponibles).
  • Si utilizas Safari, desactiva Java.
  • En el caso de Internet Explorer, deberás acceder al menú de gestión de complementos y desactivar los complementos que utilicen Oracle Java.
  • Si utilizas Opera, introduce en la barra de direcciones:”opera:plugins“. Luego desactiva los complementos afectados.

Volver a la versión Java 6 no es la solución

Aunque pueda parecer la solución más fácil, es probable que los delincuentes ya hayan ideado exploits que sean capaces de aprovechar el mismo problema de seguridad o de una forma similar.

De momento la mejor solución es desactivar los complementos del navegador y esperar a que Oracle publique una actualización que sea capaz de resolver el problema.




Ayuda para navegar por el foro

LIVE AS IF YOU WERE TO DIE TOMORROW. LEARN AS IF YOU WERE TO LIVE FOREVER. - MOHANDAS GANDHI
Invitado -- "Interesante...:

Ver tu historial de navegación Google.
Ver la información de tus cuentas Google y mas..
Extraer el sonido de un video a mp3
Editor de imagenes online


gbp
..
..

Fecha de inscripción : 08/09/2009

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por Ethna el Miér Ago 29 2012, 11:56


Ethna
Usuario Vip
Usuario Vip

Fecha de inscripción : 05/09/2009

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por Araghon el Miér Ago 29 2012, 12:06

Vaya tela sorpesa voy a deshabilitarlo ya mismo.




SALUDOS Invitado

Araghon
..
..

Fecha de inscripción : 07/09/2009
Localización : En Gondor

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por GANDALF el Miér Ago 29 2012, 13:09

No entendí un pomo..... triste

GANDALF
Super Usuario
Super Usuario

Fecha de inscripción : 25/09/2009
Edad : 70
Localización : avellaneda Bs.,As. Argentina

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por jimo el Miér Ago 29 2012, 14:21

yo no se donde esta ese buscador risa4

jimo
Usuario Vip
Usuario Vip

Fecha de inscripción : 05/08/2011
Edad : 30
Localización : yauco,puerto rico

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por gbp el Vie Ago 31 2012, 05:50

Java 6 Update 35 y Java 7 Update 7 corrigen graves vulnerabilidades de seguridad

Java SE 6 Update 35 y Java SE 7 Update 7 son las nuevas versiones de Java lanzadas por Oracle dentro de la rama 6 y la rama 7 del producto de Oracle, en las que se
han corregido varias importantes vulnerabilidades de seguridad que podía afectar a sistemas Windows, Mac OS y Linux. Java es un entorno multiplataforma, puesto que está disponible para todos los sistemas operativos Windows, Linux, Solaris y también para Mac OS X en el caso de Java 7. Conoce a continuación más detalles de estas versiones de Java

¿Qué versión de Java tengo instalada?


Podéis comprobarlo en este enlace.


Podemos bajar Java en sus versiones JRE o JDK desde los siguientes enlaces:

–> Descarga Java JRE 6 Update 35


–> Descarga Java JDK 6 Update 35

–> Descarga Java JRE 7 Update 7


–> Descarga Java JDK 7 Update 7




Ya tengo Java instalado y quiero actualizar a esta nueva versión. ¿Cómo actualizar Java?


En caso de tener Java ya instalado en el sistema, podemos actualizar Java de forma manual a la versión más reciente siguiendo las instrucciones de este enlace.




Ayuda para navegar por el foro

LIVE AS IF YOU WERE TO DIE TOMORROW. LEARN AS IF YOU WERE TO LIVE FOREVER. - MOHANDAS GANDHI
Invitado -- "Interesante...:

Ver tu historial de navegación Google.
Ver la información de tus cuentas Google y mas..
Extraer el sonido de un video a mp3
Editor de imagenes online


gbp
..
..

Fecha de inscripción : 08/09/2009

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por mars3 el Dom Sep 02 2012, 00:59

Yo tengo instalado el Java(TM) 6 Updata 31 de fecha 24-04-2012

mars3
Usuario Vip
Usuario Vip

Fecha de inscripción : 07/09/2009
Localización : ... per tot arreu ...

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por gbp el Dom Sep 02 2012, 07:17

Mars, lo tienes un poco desactualizado, normalmente en Windows suele pedirte la actualización de Java cuando hay nuevas versiones.
Esta nueva actualización es debido a un terrible agujero de seguridad que existia en las anteriores.
Pulsa aqui si quieres ver como actualizar




Ayuda para navegar por el foro

LIVE AS IF YOU WERE TO DIE TOMORROW. LEARN AS IF YOU WERE TO LIVE FOREVER. - MOHANDAS GANDHI
Invitado -- "Interesante...:

Ver tu historial de navegación Google.
Ver la información de tus cuentas Google y mas..
Extraer el sonido de un video a mp3
Editor de imagenes online


gbp
..
..

Fecha de inscripción : 08/09/2009

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por gbp el Lun Sep 03 2012, 10:24

Más problemas en la plataforma de Oracle
La actualización en Java abre un nuevo fallo que compromete la seguridad de los usuarios

Oracle ha hecho bueno el famoso dicho de "peor el remedio que la enfermedad". La actualización con la que tapó el grave fallo de seguridad descubierto en Java la semana pasada ha abierto la puerta a una nueva vulnerabilidad que compromete la seguridad del usuario.
El agujero fue subsanado por Oracle en cuestión de horas, algo a lo que la compañía no acostumbra a sus usuarios y que nos permite hacernos unaidea de la gravedad del asunto. Sin embargo, investigadores expertos en seguridad han descubierto que esta actualización abre la puerta a una nueva vulnerabilidad en la plataforma que permite a potenciales atacantes esquivar con facilidad la Sandbox de la máquina virtual de Java.

Gracias a ello, los atacantes pueden ejecutar cualquier tipo de código o emplear muchos exploits para dañar el equipo del usuario. Según detallan los expertos, esto se debe a que han sido suprimidos con la actualización los métodos de la clase sun.awt.SunToolkit, que permitían a terceros conseguir los permisos para introducirse en el sistema del usuario y ejecutar programas en el mismo. No obstante, el resultado evidencia que la actualización no es tan positiva como la compañía esperaba, puesto que los investigadores reconocen que "la seguridad de Java 7 fue mucho más sencilla de romper que antes de la actualización", algo que no sucede con la anterior versión.

Sin respuesta de Oracle por ahora

Falta por saber si Oracle volverá a reaccionar de inmediato en forma de una nueva actualización o si los usuarios tendrán que esperar hasta octubre para que este grave agujero de seguridad sea tapado. La compañía no ha realizado declaraciones al respecto, por lo que una solución temporal pasaría por volver a deshabilitar la plataforma como ya sucediese con el fallo descubierto hace unos días.




Ayuda para navegar por el foro

LIVE AS IF YOU WERE TO DIE TOMORROW. LEARN AS IF YOU WERE TO LIVE FOREVER. - MOHANDAS GANDHI
Invitado -- "Interesante...:

Ver tu historial de navegación Google.
Ver la información de tus cuentas Google y mas..
Extraer el sonido de un video a mp3
Editor de imagenes online


gbp
..
..

Fecha de inscripción : 08/09/2009

Volver arriba Ir abajo

Re: Se aconseja deshabilitar todas las extensiones que utilicen Java de los navegadores

Mensaje por Contenido patrocinado Hoy a las 07:33


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.