Nuevas vulnerabilidades en Java y Adobe Flash

Menos mal que febrero es el mes con menos días del calendario; de lo contrario, no sabríamos cuántas veces podríamos llegar a informar acerca de agujeros de seguridad en Java y Adobe en un mismo mes. Decimos esto porque, de nuevo, se han descubierto agujeros de seguridad en ambos software, algo que a estas alturas ya no debería sorprender a nadie.

Java ha protagonizado recientemente varios titulares con noticias relacionadas con la seguridad informática por haber sido usado como puerta de entrada  en los recientes ataques sufridos por Microsoft, Facebook, Apple, Twitter y varios prestigiosos periódicos.

eset_nod32_adobe_java_agujeros

A pesar de las varias actualizaciones que se han venido produciendo durante las últimas semanas, la última versión de este software (Java 7u15) y anteriores siguen presentando serias vulnerabilidades, tal y como informan desde la compañía de seguridad polaca Security Explorations.

De momento no se ha observado una utilización masiva de esta nueva vulnerabilidad, especialmente en kits de exploits, pero no podemos descartar que se esté utilizando en ataques dirigidos como los que ya han acontecido durante las últimas semanas.

La solución vuelve a estar, de nuevo, en manos de Oracle. Mientras, los usuarios que tengan instalado Java en sus sistemas siguen exponiéndose a ser infectados, muy probablemente al visitar una web legítima comprometida desde su navegador.

Puede parecer un consejo repetitivo, pero si no necesitamos utilizar Java, especialmente en el navegador, es mejor desactivarlo al menos hasta que se lance la actualización pertinente. Más complicado lo tienen aquellos que necesitan este software para poder trabajar.

Por su parte, Adobe ha vuelto a publicar un boletín de seguridad (y ya van tres este mes) que recomienda a los usuarios actualizar Adobe Flash para evitar nuevos agujeros de seguridad. Al parecer, estas vulnerabilidades sí que estarían siendo aprovechadas por ciberdelincuentes para realizar “ataques dirigidos”, según Adobe.

Debemos recordar que tanto Java como Adobe Flash son software multiplataforma y que son utilizados por millones de dispositivos con diferentes sistemas operativos. Si bien es cierto que los sistemas con Linux se han mantenido bastante al margen de los últimos ataques, no podemos decir lo mismo de Windows y Mac, por no hablar también de posibles ataques que usen estas vulnerabilidades pero estén diseñados para dispositivos móviles.

Los usuarios nos encontramos, como en muchas ocasiones anteriores, en medio de una encrucijada. Por una parte muchos no podemos prescindir de usar este software vulnerable, algunas de las alternativas ofrecidas tampoco están exentas de problemas y las soluciones de seguridad no siempre son capaces de detectar las amenazas que se propagan utilizando estos agujeros de seguridad.

¿Qué hacer entonces? Lo primero es analizar cómo se aprovechan las amenazas de estos agujeros de seguridad. En el caso de Java, el malware se descarga desde una web que puede ser perfectamente legítima. Conociendo esta puerta de entrada, podemos desactivar Java únicamente en el navegador y activarlo solamente cuando vayamos a necesitarlo (visitando las webs de algunas entidades bancarias o de la administración pública, p.ej.). Siempre cabe la posibilidad de que estas webs lleguen a infectarse, pero por lo menos reduciremos nuestra exposición al riesgo.

Con respecto a Adobe, el problema es similar, aunque también podemos llegar a configurar el navegador para que no cargue por defecto el complemento de Adobe Flash y seamos nosotros quienes solicitemos utilizarlo cuando lo veamos necesario, al ver vídeos online, por ejemplo.

De cualquier forma, tanto Adobe como Oracle deben empezar a asumir la responsabilidad que tienen con los millones de usuarios que utilizan sus productos. Es necesario invertir más recursos en hacer mucho más seguras estas aplicaciones, ya que, de seguir usándose como puerta de entrada del malware hacia nuestros sistemas, el mercado puede migrar hacia alternativas más seguras y hacerles perder su posición de liderazgo.

Josep Albors

Vulnerabilidades de Java han propiciado ataques a Apple, Microsoft, Facebook y Twitter, entre otros, en febrero