Citació:
Se ha descubierto una grave vulnerabilidad en Java Runtime Environment (JRE) versión 1.7 y posterior que permite a un atacante la ejecución de código remota en sistemas cliente que visiten una página web especialmente formada.
Si bien es algo a lo que estamos acostumbrados, tanto en aplicacipnes de Adobe, como también en este producto de Oracle, esta vez la gravedad recae en que se conocen demasiados detalles de la vulnerabilidad, se está utilizando de manera masiva, y parece ser que Oracle tardará unos días (ya demasiado tarde) en publicar un parche que corrija la vulnerabilidad.
Esta vez, la rama de JRE afectada corresponde con la 1.7, por lo que los usuarios de la versión 1.6 y anteriores no se encuentran afectados. Si bien en un primer momento se pensaba que únicamente eran vulnerables los sistemas Windows, desde Rapid7 han desarrollado ya un módulo para Metasploit (disponible en la última actualización del framework) cuyos payloads generados han funcionado en Mozilla Firefox sobre Ubuntu y Safari sobre OS X 10.7.4. Para conocer todos los detalles, si bien ya hay multitud de posts que realizan análisis, uno recomendado es el de DeepEnd Research, escrito por Andre' M. DiMino y Mila Parkour.
De momento, la única recomendación posible (y tajante como ella sola) es deshabilitar por completo Java de nuestros navegadores hasta nueva orden (hasta que Oracle nos deleite con un parche).
Vamos a dar un repaso por los navegadores más utilizados para saber cómo deshabilitar Java y poder así, navegar tranquilos sin permitir que millones de personas jueguen con nuestros PCs:
- Cómo deshabilitar Java de Internet Explorer 1) Menú de Herramientas (Tools) -> Opciones de Internet (Internet Options) 2) Pestaña Programas (Programs) -> Gestionar complementos (Manage Add-ons) 3) Seleccionar Java Plug-in y deshabilitar (disable) 4) Hacer clic en Aceptar (Ok), y de nuevo Aceptar (Ok)
- Cómo deshabilitar Java de Mozilla Firefox 1) Menú de Herramientas (Tools) -> Complementes (Add-ons) 2) Seleccionar el panel Plugins 3) Hacer clic en elementos cuyo nombre sea Java Plug-in o Java Applet Plug-in. Según el entorno, sistema operativo y versión, el complemento puede venir con un nombre u otro. 4) Hacer clic en el botón "Deshabilitar" (Disable)
- Cómo deshabilitar Java de Google Chrome 1) Accedemos al menú de plugins escribiendo "chrome://plugins/" en la barra de direcciones. 2) Buscar el complemento Java y hacer clic en "Deshabilitar"
- Cómo deshabilitar Java de Safari 1) Acceder a Preferencias -> Pestaña "Seguridad" (Security) 2) Desmarcar la opción "Habilitar Java"
Ahora, ya nos podemos sentir un poco más seguros, por lo menos hasta que se publique una actualización para esta vulnerabilidad.
|