El software de Java que, recordemos, se encuentra instalado en miles de millones de dispositivos, desde ordenadores personales a teléfonos móviles, no pasa por su mejor momento. Durante el año que estamos a punto de dejar atrás se ha convertido en la aplicación preferida por los ciberdelincuentes para explotar sus vulnerabilidades y conseguir así infectar a los usuarios.
Oracle, la empresa propietaria de Java, ha sido criticada por las políticas de actualización de dicho software, que no terminaba de parchear una vulnerabilidad cuando ya había aparecido otra. Aunque no siempre la culpa fue suya, recordemos por ejemplo el caso del troyano Flashback para sistemas Mac OS X que se aprovechó de una vulnerabilidad en Java que había sido solucionada dos meses antes en Windows pero cuya actualización Apple retrasó sin dar ninguna explicación.
El caso es que Java representa, a día de hoy, un grave problema de seguridad sobre todo para aquellos usuarios que no lo tienen actualizado. Para tratar de solucionar parcialmente estos problemas, Oracle ha anunciado que empezará a actualizar automáticamente a la versión más reciente a aquellos usuarios que aún estén usando JRE 6 (Java Runtime Enviroment) a partir de este mismo mes de diciembre.
Ademas de esta medida, en la versión más reciente (10) de la actual rama 7 de JRE se incluye la opción de que el usuario configure su seguridad, aunque, como muy bien se encargan de recordar nuestros compañeros de Hispasec, la configuración que viene por defecto no es la más recomendable.
Imagen cortesía de Hispasec.com
En el nuevo panel de control del que dispone la versión más reciente de Java, se puede realizar algo que muchos investigadores vienen recomendando desde hace tiempo, y es deshabilitar Java en el navegador. Además, el usuario tiene ahora la posibilidad de elegir entre distintos niveles de “seguridad”, entendiendo Oracle por seguridad el que un applet esté firmado o se cuente con la última versión de Java publicada (algo que no siempre es garantía de seguridad).
En el nuevo panel de control podemos elegir entre diferentes niveles predeterminados de seguridad o personalizarlo según nuestras preferencias. El problema radica en que con la configuración por defecto se siguen ejecutando applets sin firmar si se dispone de la última versión del software, configuración que será la empleada por la mayoría de usuarios y que sigue sin ser segura.
Por lo menos ahora se nos permite a los usuarios configurar Java a nuestro gusto para, en el caso de que decidamos no desinstalarlo de nuestro sistema, al menos evitemos que sea usado como puerta de entrada de malware. Es un primer paso que, aunque insuficiente, demuestra que Oracle empieza a tomarse en serio los problemas de seguridad de su software.