La empresa admite la existencia de una vulnerabilidad en el software de Java integrado a los navegadores web. Precisa que el problema sólo afecta a JDK7; es decir, no ha sido detectado en otras versiones de Java, y no afectaría las aplicaciones Java directamente instaladas o ejecutadas en servidores, PCs u otras unidades. La empresa anuncia un parche “pronto”.
Una interpretación literal del comunicado implica que la vulnerabilidad sólo afecta la versión para desarrolladores de Java, JDK (Java Development Kit), y no JRE (Java Runtime Environment), que es la versión normalmente instalada por los usuarios en general.
En tal caso, el riesgo de ser víctima de un ataque no es especialmente significativo para la mayoría de los usuarios. Sin embargo, la información entregada por Oracle no coincide con los análisis de diversas empresas de seguridad informática y de usuarios del sector financiero. De hecho, la información puede ser incluso contradictoria, ya que en uno de los informes se menciona exclusivamente a JRE.
Según se informaba el pasado viernes, la entidad estadounidense US-CERT informa que la vulnerabilidad está presente en todas las versiones de Java 7. En tanto, la NIST (National Vulnerability Database) informa que todas las versiones de Java 4,5, 6 y 07 están afectadas por la vulnerabilidad.
Al margen de la veracidad o inexactitud de las distintas versiones y análisis, la opinión imperante parece ser aconsejar a los usuarios de computadoras desactivar el soporte para Java en sus navegadores. Para la mayoría será suficiente verificar que esté instalada la versión Java 7, update 10, y posteriormente desactivar el soporte para navegadores en las preferencias de seguridad. La ubicación de tales preferencias y configuración depende del sistema operativo. Para el caso de Windows hay un icono específico para Java en el panel de control.
Alternativamente, el soporte para Java puede ser desactivado directamente en los navegadores.
Según se informaba anteriormente, el tema ha causado especial preocupación en los países nórdicos, donde el uso de Java está especialmente generalizado en el sector bancario para el inicio de sesiones de banca en línea y en otros sitios donde la seguridad de la autenticación es uno de los elementos más importantes. En la región, una recomendación imperante ha sido activar Java únicamente en un navegador utilizado para acceder a la banca online, mientras que el navegador utilizado para navegación general en Internet debe tener el plugin inactivo.
Este último incidente de seguridad parece ser decisivo para el sector bancario. En un comunicado referido por medios noruegos, el sitio o de la entidad BankID, que tiene la responsabilidad centralizada por el funcionamiento de la banca online en Noruega, escribe: “BankID Noruega considera nuevas alternativas. Java ha funcionado bien por largo tiempo, pero desde ya constituye un reto en materia de seguridad al no incluir soporte para tabletas y smartphones. Java no es un producto sagrado para nosotros, pero tampoco podemos cambiarlo de la noche a la mañana. La solución por la que nos decidamos debe ser mejor y más segura. En realidad, es difícil depender de Java cuando surgen agujeros de seguridad equivalentes al detectado el jueves 10 de enero”.
Apple
Según el sitio MacRumors, Apple habría decidido bloquear el uso de todas las versiones existentes de Java 7 en el sistema operativo iOS X, hasta que exista una nueva versión.
Nuevas críticas
El experto Adam Gowdiak, que en 2012 notificó a Oracle sobre una serie de vulnerabilidades en Java, denunciando además que Oracle prácticamente se había desentendido del problema, escribe en su sitio que los ataques detectados la semana pasada utilizan dos vulnerabilidades distintas, donde una de ellas sería la que Oracle intentó eliminar mediante una actualización publicada en octubre de 2012. En otras palabras, la solución habría sido ineficaz.
“No es la primera vez que las investigaciones y análisis de Oracle sobre los problemas de seguridad han sido insuficientes”, escribe Gowdiak en su sitio, haciendo luego la siguiente analogía: “Las vulnerabilidades son como las setas; en algunos caso se encuentran en las proximidades de otras ya recogidas. Al parecer, Oracle decidió dejar de recolectar setas demasiado pronto, a pesar de haber muchas todavía en las profundidades del bosque”.
Ilustración: Los problemas de seguridad de Java son como las setas del bosque, según experto en el tema (Fotografía de Dreamstime).
