Los usuarios de algunos países, como Noruega y Dinamarca, se ven especialmente afectados debido a que en esos países las instituciones bancarias han adoptado Java como estándar.
Java, como extensión del navegador, es una de las funciones más expuesta a la vulnerabilidad. La opinión generalizada entre expertos en seguridad informática es que Java debe ser desactivado en todos los navegadores, o desinstalado por completo de la computadora.
Para el caso de los usuarios que deban tener Java instalado, debido por ejemplo a la necesidad de acceder a su banco, se recomienda utilizar un navegador de manera específica para tales funciones; es decir, se no utilizarlo para navegación corriente y para la banca online.
La vulnerabilidad del caso es la más grave que ha afectado a Java hasta ahora. A pesar de ello, Oracle no ha presentado no ha alertado a sus usuarios, y el tema ni siquiera es mencionado en su sitio web. Los expertos coinciden en que Oracle debió haber publicado una advertencia visible en el sitio de Java, que es al que la mayoría acude para descargar la extensión. Sin embargo, la página luce su aspecto acostumbrado, y ni siquiera hay un enlace que lleve hacia una actualización de seguridad.
Es procedente entonces tener una actitud crítica al manejo que Oracle ha dado al caso. Pero la situación es, en realidad, mucho peor.
Adam Gowdiak, fundador y presidente de la compañía polaca de seguridad informática Security Explorations, declaró a ComputerWorld que su empresa notificó a Oracle sobre esta vulnerabilidad, y otras 17, en abril de este año. Asimismo, hizo referencia a una nota de prensa sobre el tema publicado por Security Explorations el día 2 abril.
Según el blog Immunity (inmunidad) de la empresa de seguridad informática no es sólo una, sino dos vulnerabilidades que son explotadas por el código de ataque denominado Gondvv. Ambas vulnerabilidades figuran entre las notificadas detectadas por Security Explorations en abril.
Gowdia recalca que la comunicación que su empresa ha tenido con Oracle ha sido inmejorable. Agrega que Oracle le ha informado que las dos vulnerabilidades en cuestión serán eliminadas mediante la actualización de seguridad de Java 7, planeada para octubre.
Oracle publica las actualizaciones de Java cada dos meses de. Sin embargo, sólo una actualización por medio contiene parches de seguridad. Con las tres actualizaciones de seguridad que se han publicado para Java 7 hasta ahora, Oracle ha eliminado un total de 48 vulnerabilidades. Sin embargo, este número sólo incluye tres del total de 29 vulnerabilidades detectadas por la empresa polaca.
Desconocemos la razón de que Oracle haya dejado tantas vulnerabilidades críticas para la CPU (Critical Patch Update) de octubre, declaró Gowdia a ComputerWorld.
Ilustración: Blog Devian Art.