En las oficinas de Oracle no ganan para disgustos últimamente. La semana pasada fueron los protagonistas indiscutibles en las noticias de seguridad informática, aunque parecía que la cosa se iba a calmar tras la publicación de un parche el pasado jueves que, supuestamente, solucionaba las vulnerabilidades que presentaba su software Java en su versión más reciente hasta la fecha.
Pero pocas horas después de publicarse la nueva versión de Java 7 Update 7, investigadores de la empresa de seguridad polaca Security Explorations anunciaron el descubrimiento de una nueva vulnerabilidad presente en la recién lanzada actualización que podría ser usada para ejecutar código arbitrario en el sistema.
Según estos investigadores, el descubrimiento de esta nueva vulnerabilidad fue posible debido a que el parche tan solo eliminó el vector de ataque de las vulnerabilidades anteriores, no por la eliminación de las propias vulnerabilidades que estaban siendo aprovechadas por los exploits que surgieron al poco tiempo de hacerse públicas.
Por suerte para todos nosotros, esta empresa ya ha contactado con Oracle y le han informado de este nuevo fallo de seguridad de forma privada, por lo que, a diferencia de la anterior, no se han hecho públicos los detalles que permitirían aprovecharla de forma masiva.
A pesar del descubrimiento de este nuevo agujero de seguridad, sigue siendo altamente recomendable actualizar nuestra versión de Java a la última versión, tanto si contamos con la versión 7 como si seguimos usando la versión 6. Aun así, si queremos añadir más seguridad ante estas vulnerabilidades, la mejor opción sigue siendo deshabilitar Java de nuestros navegadores y asegurarnos de eliminar versiones antiguas de este software.
Las vulnerabilidades en Java hace tiempo que vienen siendo uno de los vectores de infección más usados por los ciberdelincuentes y esto debería preocuparnos, puesto que existen miles de millones de dispositivos, desde ordenadores de escritorio hasta móviles, que lo emplean. Además, su posibilidad de ejecutarse en diferentes sistemas operativos lo hace aún más atractivo para ser atacado.
Si a esto le unimos que Oracle no responde como debería a estos fallos de seguridad, nos encontramos ante una situación de alto riesgo. Por poner solo un ejemplo, Oracle fue informada de las vulnerabilidades descubiertas la semana pasada, englobadas dentro de un informe que contenía un total de 19 vulnerabilidades, a principios del mes de abril.
Visto lo visto, lo mejor será ir pensando en usar Java solo para lo estrictamente necesario y tenerlo deshabilitado la mayoría del tiempo. Solo así podremos estar seguros de no ser objetivos de los exploits que, constantemente, buscan aprovecharse de los fallos de seguridad en este software para infectar nuestro sistema.
Josep Albors