BAQUIA

¿Sabía Oracle que había un grave agujero de seguridad en Java?

Java expl

Esta semana conocimos una grave vulnerabilidad en la versión más reciente de Java (1.7), un exploit dirigido a usuarios de Windows pero que puede afectar también a usuarios de OSx y Linux.

A través del exploit, los atacantes podían instalar malware en los ordenadores utilizando dos vulnerabilidades de día cero sin parchear. La amenaza es de tal calibre que se recomienda desactivar Java en todos los navegadores mientras no se corrija.

Oracle ha adelantado la siguiente actualización de Java, que estaba prevista para mediados de octubre, lanzando un parche que soluciona la vulnerabilidad. Desde este enlace se puede acceder a la actualización, que Oracle recomienda instalar para evitar riesgos.

Pero a pesar de que Oracle haya reaccionado con rapidez al problema, está recibiendo duras críticas porque es posible que conociera desde hace meses la existencia de la amenaza y no hubiera hecho nada por corregirla, o bien hubiera tardado demasiado en reaccionar.

Según publica PCWorld, una empresa de seguridad polaca, Security Explorations, alertó a los ingenieros de Oracle hace casi cinco meses (concretamente el pasado 2 de abril) sobre 19 fallos de seguridad en Java 7, incluidas las dos vulnerabilidades “día cero” utilizadas en el ataque, una en la clase ClassFinder y otra en el MethodFinder.

En los siguientes meses la compañía polaca siguió mandando avisos a Oracle, hasta localizar 29 vulnerabilidades, ante las que Oracle respondió sólo en algunos casos. En la actualización de Java del pasado junio corrigió tres de los errores reportados por los polacos, pero no los dos exploits utilizados por los hackers para instalar el troyano Poison Ivy.

“Aunque estamos en contacto con Oracle y el proceso de comunicación ha sido bastante fluido, no sabemos por qué Oracle ha dejado estas brechas tan serias para su CPU de Octubre”, ha explicado Security Exploration, que concluye diciendo que no son “conscientes en los planes de parches de Oracle, si bien esperamos que lancen una solución para estos problemas tan pronto como sea posible”.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios