Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/12/2012
Java (per fi) permet millorar la configuració de seguretat
No és habitual que Oracle emeta una nova versió de Java que no corregisca errors de seguretat. No obstant això, la nova versió 10 de la branca 7 ha nascut per a incloure millores de seguretat (que no és el mateix que corregir fallades). A més, algunes prou interessants que, atesos tots els problemes que està causant, resulten necessàries.
En estos moments i des de fa ja molts mesos, Blackhole és la ferramenta preferida dels atacants per a infectar sistemes. Dins d’esta "suite" d’explotació, les vulnerabilitats preferides que més èxit tenen entre les víctimes són les relacionades amb Java, seguides pels problemes en Flash i Windows. Sense anar més lluny, segons les nostres estadístiques (basades en diverses desenes de casos a empreses i particulars en els últims mesos), Java està darrere de pràcticament el 100% de les infeccions pel troià bancari Citadel (Zeus).
Així que qualsevol millora en la seguretat de Java és benvinguda. Diversos navegadors estan bloquejant les versions no actualitzades, en un intent per protegir els seus usuaris. Però Oracle ha decidit facilitar este aspecte als usuaris. En esta ocasió, s’han centrat a millorar el panell de configuració del programa per a permetre elegir una configuració més o menys segura. Per descomptat, i entropessant en la mateixa pedra de sempre, la configuració per defecte no és la més adequada.
En el panell de control de Java, es podrà ara desactivar còmodament Java per al navegador, quelcom que s’hauria de dur a terme. No obstant això, Oracle permet ara elegir diferents nivells de "seguretat", basats en si una miniaplicació està firmada (es considera "de confiança") i en si s’executa sobre una versió de Java "segura" o no. Amb versió "segura" es referixen que siga l’última publicada i estiga actualitzada.
Els nivells predeterminats juguen amb diferents combinacions d’estos paràmetres. En "baix", totes les miniaplicacions (applets) s’executaran sense preguntar a menys que ho intenten sobre una versió antiga o pregunte per recursos protegits. En "molt alta", totes les miniaplicacions (firmades o no) demanaran confirmació i bloquejarà directament l’execució en un JRE antic.
Per defecte (com molt probablement ho deixaran la majoria d’usuaris), ve configurat per a executar sense preguntar miniaplicacions no firmades en una versió "segura". En realitat, actualitzada a l’última i "segura" no són sempre sinònims ni a Java ni en cap aplicació. Recordem que no fa molt, diverses vulnerabilitats de Java han estat sent aprofitades per atacants sense que existira un pegat. Per tant l’última versió era "segura" per als seus paràmetres. També perquè confien en una miniaplicació (que no deixa de ser un programa) sense firmar per a executar-se de forma transparent per a l’usuari. Els atacants trobarien un major obstacle si hagueren de firmar els applets maliciosos i que foren validats per una entitat de confiança. Açò sí que podria suposar un xicotet fre. Les pàgines legítimes que usen miniaplicacions, estarien obligades a firmar el seu codi per a evitar problemes.
En tot cas, una millora interessant i necessària.