¿Aún con Java 6 instalado?. ¡Actualiza si no quieres tener problemas de seguridad!

Java lleva tiempo siendo uno de los mayores quebraderos de cabeza a la hora de mantener un sistema protegido. El hecho de que se encuentre instalado en miles de millones de dispositivos, que sea multiplataforma y, sobretodo, el desconocimiento de muchos usuarios de la necesidad de mantener una versión actualizada que no sea vulnerable, hace que sus agujeros de seguridad sean constantemente aprovechados por los ciberdelincuentes.

Actualmente, la última versión de este software, según anuncian en su propia web, es la Versión 7 Update 25, aunque si analizáramos las versiones más utilizadas a día de hoy estamos seguros que esta no sería, ni de lejos, la más instalada. Si ya es difícil conseguir que muchos usuarios mantengan sus sistemas operativos al día, no digamos ya mantener actualizadas aplicaciones de terceros que la mayoría desconocen que tienen en su sistema.

java

El problema viene cuando una versión como la 6 de Java, instalada aún en millones de ordenadores, deja de ser soportada por el fabricante, que deja de lanzar actualizaciones de seguridad para ella. Si a esto le sumamos la aparición de un exploit que se aprovecha de una vulnerabilidad de esta versión que no tiene perspectivas de ser solucionada, tenemos un caldo de cultivo excelente para que los ciberdelincuentes hagan su agosto y propaguen nuevas amenazas utilizando Kits de exploits como Neutrino.

El exploit que afecta a esta versión obsoleta de Java fue presentado como prueba de concepto la semana pasada y ya empezaron a verse ataques aprovechándolo a principios de esta. Al tratarse de una versión que ya no está soportada por Oracle, la empresa no tiene previsto lanzar ningún parche de seguridad para resolver esta situación, dejando a la mayoría de los millones de usuarios que aún la tienen instalada totalmente desprotegidos.

Si hay alguien interesado en conocer la vulnerabilidad y cómo esta puede ser aprovechada de forma maliciosa, los chicos de Hispasec han preparado un interesante análisis en su blog, el cual recomendamos leer encarecidamente.

Para la mayoría de usuarios, este problema se soluciona de forma sencilla actualizando a la versión más reciente de Java y, si es posible, desactivando el complemento de Java del navegador si su uso no es estrictamente necesario. El problema real se encuentra en aquellos usuarios, principalmente empresas, que siguen utilizando la versión 6 de Java para poder seguir trabajando sin problemas, bien porque aún no han podido migrar a la versión 7 o por otros motivos. En estos casos la situación se agrava ya que, únicamente pulsando sobre un enlace malicioso se podría comprometer la seguridad del sistema.

Como siempre que hablamos de versiones obsoletas de software siendo usadas como vector de ataque, es necesario, especialmente en empresas, planificar la migración a versiones más actuales y seguras con la suficiente antelación, para evitar casos como el que acabamos de comentar. Más delicado y costoso es la migración completa de un sistema operativo, algo que muchos usuarios y empresas deberían empezar a tener en cuenta sobre todo sabiendo que Windows XP termina su ciclo de vida el año que viene.

Josep Albors

Una cadena de caracteres en árabe hace fallar aplicaciones en OS X e iOS