Por largo tiempo, Java ha presentado un gran número de vulnerabilidades que, inevitablemente, motivó una pérdida de confianza por parte de los usuarios, especialmente corporativos. Durante los primeros cinco meses del año, el número de incidencias de seguridad reportadas sobre Java superó el centenar (sólo en una actualización, publicada el 19 de marzo, Oracle solucionó 50 vulnerabilidades), y no hay razones para suponer que los ataques contra la plataforma vayan a disminuir.
En 2012, las constantes vulnerabilidades llevaron a expertos de seguridad y también a autoridades nacionales a desactivar el programa o, en definitiva, desinstalarlo. Por su parte, el experto en seguridad informática Adam Gowdiak, que ostenta un verdadero récord en detección de vulnerabilidades en Java, utilizó la metáfora de comparar a Java con las setas del bosque.
Con todo, Oracle no se da por vencida y dedica grandes esfuerzos para corregir la situación. Actualmente, la empresa hace los últimos ajustes al desarrollo de nuevas funciones de seguridad, que serán implementadas para salvar la plataforma.
La nueva actualización está dirigida a consumidores y empresas, e incluye dos novedades. En primer lugar, el sistema de acreditación mediante certificados será modificado, impidiendo la ejecución de código no firmado. En segundo lugar, se implementará una función para empresas, donde el administrador mediante una lista de control podrá decidir que applets pueden ser ejecutados en el hardware de la empresa.
“Estos cambios, sumados al parcheo más frecuente de agujeros de seguridad, reducirán las vulnerabilidades a nivel de usuario, y fortalecerán la seguridad en un entorno de servidores”, escribe la empresa en su blog.
Experto desconfía
Peter Kruse, de la empresa de seguridad informática CSIS, no expresa mayor entusiasmo por las medidas adoptadas por Oracle. Citado por Computerworld Dinamarca, comenta: “Ya se han detectado nuevas vulnerabilidades que, de hecho, eluden los nuevos mecanismos de seguridad”.
A juicio de Kruse, la razón de que Java sea un código predilecto para atacantes es su alto grado de propagación y popularidad. Asimismo, Java ha sido históricamente difícil de actualizar, y no fue sino hasta hace poco que Oracle implementó un sistema de actualización automática.
Por lo tanto, en los discos duros de todo el mundo hay un formidable número de versiones obsoletas, que facilitan la labor de intrusos y atacantes. “En otras palabras, independientemente de la frecuencia con que Oracle actualice el software, y el blindaje que éste pueda incorporar, probablemente pasará algo de tiempo antes que Java sea nuevamente considerada una plataforma segura”, concluye Peter Kruse.
Ilustración: Dreamstime
