Java 7, un agujero de seguridad para solucionar otro

2 respuestas

Hace algunos días se armó el revuelo alrededor del mundo cuando se dio a conocer un fallo de seguridad grave que afectaba al Runtime Enviroment de Oracle Java 7 desde hace ya bastante tiempo, fallo que llevó a la mayoría de sus usuarios a deshabilitar la maquina virtual de Java 7 en sus navegadores hasta que una solución para el mismo fuera encontrada y publicada.

El parche para solucionar el problema vio la luz hace solo un par de días, lo que le permitió a todos sus usuarios dar un respiro de alivio y correr a instalar la actualización que solucionaba este problema. Sin embargo, según la firma de seguridad Security Explorations, este parche no solamente no tapa el agujero que ya existía sino que crea uno nuevo, permitiendo a atacantes externos salir de la “seguridad” que provee la maquina virtual incluso provee nuevas formas de hacerlo, que con el anterior fallo no eran posibles.

Security Explorations ya ha hecho llegar la información relacionada con este fallo a Oracle, pero es poco probable que la compañía de Larry Ellison se esfuerce en entregar una solución a este problema en el corto plazo, pues para el anterior parche reciente publicado se tomaron algunos cuantos meses después de haber conocido el problema que afectaba su software.

Fallos de seguridad en Oracle Java 7Esto podría decirse que es una consecuencia del código cerrado, pero por el momento no nos queda otra opción que instalar OpenJDK si somos afortunados usuarios de Linux o instalar versiones anteriores de Oracle Java si utilizamos otros sistemas operativos.

Si por otro lado prefieres no tomarte esa molestias, te recomiendo deshabilitar Java 7 en tus navegadores tal como lo indican en Security By Default mientras esperamos a que Oracle se digne a entregarnos una solución definitiva y real a los problemas de seguridad en su maquina virtual.

Hay que felicitar a Oracle por convertir varios de los proyectos OpenSource más importantes de la historia en un montón de basura que probablemente en un futuro no muchos quieran usar… Afortunadamente siempre estará la Apache Foundation para recibir los despojos.

  • http://unawebmaslibre.blogspot.com/ rolando

    Yo prefiero usar Open JDK, creo que es mas seguro.

  • http://www.facebook.com/jrguerrag Jorge Guerra

    desgraciadamente el OpenJDK no esta disponible para windows, en lo personal uso ubuntu, pero desgraciadamente en este ambiente laboral muchas veces te topas a diario con este sistema operativo, por que es lo que la mayoría usa, y es molesto que una compañía que se comprometió en hacerse cargo de algo no lo cumpla.