El domingo 14 de enero, Oracle publicó un alerta de seguridad y parche para Java. Curiosamente, la empresa opta, por primera vez, por aplicar un “alto nivel de seguridad” como preferencia estándar para la seguridad del software. Esto implica que la aplicación siempre solicitará autorización al usuario antes de ejecutar applets no firmados o una aplicación Java basada en la web.
La nueva actualización ha sido recibida con opiniones encontradas por la comunidad de seguridad informática. Por una parte, el célebre hacker Charlie Miller comenta hoy mediante su cuenta de Twitter: “Lloran los desarrolladores que utilizan las vulnerabilidades de Java. El valor de las vulnerabilidades se desmorona ahora que los applets se convierten en “click para ejecutar”.
Otros expertos expresan inseguridad sobre la eficacia de la actualización. El propio Adam Gowdiak, que durante el último año ha detectado numerosas vulnerabilidades críticas en Java, opina que Oracle nuevamente es insuficiente. En tal sentido, indica que el parche de emergencia no soluciona otras vulnerabilidades críticas de Java. Su conclusión es “no nos atrevemos a decir a los usuarios que es seguro activar Java nuevamente”.
Java ha sido por largo tiempo un elemento favorito entre cibercriminales debido a sus numerosos agujeros de seguridad. Al respecto, Kaspersky Lab indica que la mitad de todas las intrusiones informáticas realizadas durante 2012 aprovecharon una u otra vulnerabilidad de Java.
Por su parte, Bogdan Botezatu, de BitDefender, comenta que “Ya es hora que Oracle asuma la responsabilidad por los numerosos problemas de seguridad, y sencillamente elimine porciones del código fuente, y lo reescriba. La empresa ha perdido el control”. En una entrevista publicada el 14 de enero por MacWorld Austria, Botezatu escribe “Oracle debe reescribir algunos de los componentes esenciales de Java. Sólo de esa forma será posible eliminar las vulnerabilidades, en lugar de parchear constantemente una versión tras otra”.
A pesar de ello, el experto opina que no es una realidad viable. A su juicio, el mayor problema de Oracle es que en caso de aplicar cambios fundamentales a la plataforma Java esta perdería la compatibilidad con aplicaciones antiguas.
La última vulnerabilidad crítica de Java ha hecho perder la paciencia a uno de los grupos que más dependen de la seguridad de la plataforma, la banca online. El viernes 11 de enero, la organización noruega BankID anunció que “es difícil depender de Java cuando surgen agujeros de seguridad como este”, anunciando luego que la organización ya considera alternativas a Java. El día anterior, los organismos gubernamentales CERT en los países nórdicos y Estados Unidos aconsejaron a la ciudadanía no utilizar navegadores con Java 7 activado.
Ilustración: Dreamstime
