A pesar de que, al hablar de vulnerabilidades, casi siempre nos referimos a agujeros de seguridad en sistemas operativos y, recientemente, productos de Adobe, Microsoft ha informado del impresionante aumento que han tenido, desde mediados de verano, los ataques que se aprovechan de vulnerabilidades de Java. El número de ataques ha crecido de forma exponencial en los últimos meses, especialmente aquellos que aprovechan tres vulnerabilidades concretas. Estas son:
CVE-2008-5353
CVE-2009-3867
CVE-2010-0094
Todas ellas son vulnerabilidades multiplataforma y están solucionadas pero, a pesar de que Java es un software instalado en una gran cantidad de sistemas, la mayoría de usuarios ignora o hace muy poco caso a las actualizaciones existentes. Tampoco ayuda a solucionar esta situación el hecho de que el propio actualizador de Java, programado por defecto a actualizarse el día 14 de cada mes, algunas veces no reconozca la existencia de actualizaciones. Asimismo, al tratarse de un programa que se ejecuta en segundo plano, mucha gente no es consciente de su existencia, a diferencia de otras aplicaciones como Adobe Reader.
No obstante, a pesar de este alarmante crecimiento, salvo honrosas excepciones, este impresionante aumento en el aprovechamiento de vulnerabilidades de Java ha tenido poca repercusión medíatica y, según comentan desde la propia Microsoft, es posible que a los proveedores de Internet (normalmente los primeros que dan la voz de alarma cuando aparecen nuevas formas de aprovechar vulnerabilidades) les cueste encontrar una solución eficaz a este problema, sobre todo por el impacto en el rendimiento del sistema de detección de intrusos del propio ISP.
Aunque el número de amenazas que se aprovechan de las vulnerabilidades del software de Java aun son pocas en comparación, por ejemplo, de aquellas familias de malware más detectadas por las firmas antivirus, el crecimiento exponencial de las mismas nos alerta de que algo se está cociendo y, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar la versión de nuestro software de Java, bien usando el propio actualizador que incorpora o aplicaciones de terceros como Secunia Software Inspector.
Josep Albors