Recomiendan desinstalar de inmediato Java por la �ltima y grave vulnerabilidad descubierta

Afecta a todos los sistemas operativos

Recomiendan desinstalar de inmediato Java por la �ltima y grave vulnerabilidad descubierta

J. G�mez | 11 de Enero 2013 | 12:20 45 comentarios

Un nuevo y grave fallo ha sido descubierto en Java. Es el segundo que se descubre en los últimos meses y como sucediese en el anterior caso la única solución con la que cuentan por ahora los usuarios pasa por su desinstalación si no quieren poner en riesgo su seguridad.

La historia se repite. El pasado mes de agosto nos hacíamos eco del exploit descubierto en Java que afectaba a Java Runtime Environment (JRE) en su versión 1.7 y que abría la puerta a un atacante para ejecutar código de forma remota y así infectar el equipo de los usuarios, tanto si contaban con Windows como sistema operativo como Mac OS X o Linux.

Meses más tarde es la versión Java 7 Update 10 la que se ve afectada por un agujero de seguridad que igualmente afecta a todos los sistemas operativos y que según indican en The Next Web tuvo su origen el primer día de 2013. Como en el anterior caso, el exploit permite a los atacantes robar información privada de los usuarios o dañar los archivos almacenados en sus equipos.

Para poder aprovecharse del nuevo fallo, los atacantes emplean un código HTML al que redirigen a sus víctimas en sus navegadores. Ante la falta de solución inmediata aportada por Oracle, desarrolladores de Java, el consejo de los expertos pasa por la desinstalación al completo de Java. "Java es un desastre: No es seguro y hay que desactivarlo", ha afirmado al respecto Jaime Blasco, del laboratorio AlienVault Labs. No en vano, se ha advertido que el riesgo de ataque es elevado, puesto que los desarrolladores de exploit kits, (archivos que los delincuentes utilizan para atacar a los ordenadores) han añadido un software que permite a los hackers explotar esta vulnerabilidad.

Sin especificar cifras, en la información se señala que en estos primeros días de enero han sido infectados miles de portales en toda la web con este código malicioso. Por ello, como aconsejamos meses atras, la deshabilitación de Java en los navegadores es la primera solución. Estos son los pasos a seguir en función del navegador que utilicemos:

- Google Chrome: Escribimos "chrome://plugins/" en la barra de direcciones y buscamos y desactivamos el complemento Java.
- Internet Explorer: Desde el Menú de Herramientas accedemos a Opciones de Internet. En la pestaña Programas buscamos Gestionar complementos y deshabilitamos el Java Plug-in.
- Mozilla Firefox: Entramos en Complementos desde el menú de herramientas y en el panel Plugins deshabilitamos Java Plug-in o Java Applet Plug-in (el nombre depende del sistema operativo que tengamos).
- Safari: Accedemos a la pestaña de Seguridad en Preferencias y desmarcamos la opción Habilitar Java.

Vulnerabilidad en Internet Explorer permite rastrear todos los movimientos del ratón

Un fallo de seguridad permite el robo de la cuenta Outlook

El troyano Flashback se ceba con Mac. ¿Responsabilidad de Oracle o Apple?

El software de Microsoft ya no está entre los programas con más fallos de seguridad

Comparte este artículo

Seguir a @adslzone

45 Comentarios

Opinar en esta noticia / Opinar en el foro

Yo siempre lo tengo deshabilitado, lo activo �nicamente cuando entro en una p�gina donde lo necesito expl�citamente. Me parece lo m�s recomendable.

Aumentar karma Restar karma karma: 1 | Escrito por Islander el 11 Enero 2013 a las 12:23 | #ID

Totalmente de acuerdo. Es lo m�s sensato.

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (217.124.188.XXX) el 11 Enero 2013 a las 12:27 | #ID

A mi me molesta bastante los catastrofistas. "Java es un desastre: No es seguro y hay que desactivarlo", seguro que ese Jaima Blasco tiene intereses en crear ese alarmismo para crear el p�nico entre usuarios. Me lo imagino con el gui�n ya preparado de lo que iba a decir cuando se hiciera p�blica una noticia de estas con una nueva vulnerabilidad.

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (85.55.241.XXX) el 11 Enero 2013 a las 23:36 | #ID

Durante estos �ltimos meses, el antivirus me ha detectado cuatro vulnerabilidades con Java runtime. Se ha convertido en la puerta de entrada de los ataques. As� que ya lo desinstal�.
Y dese que lo tengo desinstalado, la verdad que no lo he echado de menos en ninguna ocasi�n.

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (83.33.236.XXX) el 11 Enero 2013 a las 12:32 | #ID

�qu� antivirus usas?

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (150.214.205.XXX) el 11 Enero 2013 a las 12:37 | #ID

Security Essentials. Es gratis si tienes windows original.

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (83.33.236.XXX) el 11 Enero 2013 a las 12:40 | #ID

parece que por fin hace algo ese antivirus, porque no es muy bueno que digamos

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (84.123.6.XXX) el 11 Enero 2013 a las 13:04 | #ID

Es gratis sea original o no

Add karma Subtract karma karma: 0 | Escrito por nabla el 11 Enero 2013 a las 20:20 | #ID

... :S..... Facepalm! Te�ricamente su uso s�lo est� permitido para los que tienen Windows original

Pd: no te voy a dar lecciones de moralidad, pero no pregones la inmoralidad

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (85.55.241.XXX) el 11 Enero 2013 a las 23:25 | #ID

�ataques?

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (188.86.246.XXX) el 11 Enero 2013 a las 13:24 | #ID

Tu ordenador es una granja de porno. Al final te salen bichitos si o si

Add karma Subtract karma karma: -1 | Escrito por ZoNeRo (85.55.241.XXX) el 11 Enero 2013 a las 23:26 | #ID

Para qu� se necesita el Java? (Pregunta ser�a, no ret�rica ni sarc�stica)

Aumentar karma Restar karma karma: 1 | Escrito por ZoNeRo (176.83.115.XXX) el 11 Enero 2013 a las 13:07 | #ID

Para algunas aplicaciones web, por ejemplo Hacienda y similares.

Add karma Subtract karma karma: -2 | Escrito por Islander el 11 Enero 2013 a las 13:28 | #ID

En general, es requisito para el funcionamiento de aplicativos tanto locales como web.

Por ejemplo, a nivel de empresa, se usa much�simo para acceder v�a web a organismos (hacienda foral, seguridad social, mutuas laborales, etc.). Tambi�n lo necesitamos en aplicativos de esos mismos organismos instalados en los equipos (local o en red), para plataformas de acceso web a nuestra entidad bancaria, de algunos proveedores y/o clientes, etc.

La soluci�n idonea ser�a activar java solo cuando fuese necesario. El problema fundamental es que es muy complicado explicarle eso al usuario de a pie, que lo entienda, y que lo cumpla, ya que suele ser un usuario profano en cuestiones inform�ticas y que solo utiliza su ordenador para sus cuatro cosas de trabajo. Cuesti�n aparte, por norma general el uso que hacen muchos de estos usuarios respecto al acceso a internet con necesidad de Java es del 80% del tiempo (en muchas empresas te mueves siempre por webs muy espec�ficas y es raro que salgas de ah�). Vale, est� los que se miran webs de deportes, viajes, boletines, etc. y suponen un claro riesgo, pero que se puede controlar con pol�ticas de seguridad y/o restricci�n de acceso.

El tema de deshabilitar java en se�n qu� escenarios, no es tan sencillo.

Add karma Subtract karma karma: 2 | Escrito por ZoNeRo (83.213.199.XXX) el 11 Enero 2013 a las 13:34 | #ID

Matizo para no dar lugar a malas interpretaciones:
Con "aplicativos tanto locales como web" me refiero a aplicativos concretos en ciertos entornos y relativo generalmente a comunicacioes, como explico desp�es. Las aplicaciones convencionales de toda la vida (Office, Photoshop, etc.) no suelen requerir Java.

Add karma Subtract karma karma: 2 | Escrito por ZoNeRo (83.213.199.XXX) el 11 Enero 2013 a las 13:58 | #ID

Para jugar al mineraft.

No, en serio, much�simas de las grandes empresas utilizan Java para sus aplicaciones y bases de datos en intranet. Y a la vista de la cantidad abrumadora de ofertas de trabajo para desarrolladores Java EE, al parecer cada d�a m�s empresas implementan Java.

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (95.17.225.XXX) el 11 Enero 2013 a las 15:15 | #ID

+1, bien explicado y resumido

L�stima que Oracle est� empe�ada en jodernos la formaci�n a algunos. Bueno ellos y tambi�n algunos amantes (o eruditos) de C que se resisten a aprender y cambiar

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (85.55.241.XXX) el 11 Enero 2013 a las 23:30 | #ID

Se supone que la 1.6 no esta afectada no?

Aumentar karma Restar karma karma: 0 | Escrito por lloyd el 11 Enero 2013 a las 13:10 | #ID

me parece que no afecta

Add karma Subtract karma karma: 0 | Escrito por nabla el 11 Enero 2013 a las 20:27 | #ID

Realmente no es s�lo en Java 7 u10 sino en todos los anteriores tambi�n:

http://www.kb.cert.org/vuls/id/625617

El problema est� en uno de los componentes MBeans (no se sabe nada sobre si es uno o varios) del Java Managament Extensions (JMX) que lo que hace es que se puedan escalar privilegios, para que un applet de Java no verificado (y por tanto potencialmente malicioso) sin tener c�digo firmado pueda llamar a la funci�n setSecurityManager() haciendo creer a Java, que dicho applet, es leg�timo. Debido a que hace pensar al propio Java que tiene permiso y que es seguro, para sustituir al llamado Gestor de Seguridad (Security Manager) existente.

Salu2

Aumentar karma Restar karma karma: 1 | Escrito por Nova6K0 el 11 Enero 2013 a las 13:13 | #ID

Si Apple estaba en lo cierto cuando no quiso implementar en sus dispositivos moviles ni Java ni Flash Player. ambos son un coladero de codigo mal intencionado que es flipante.
Pues nada, desactivaremos Java y que les den por dond eamargan los pepinos a estos se�ores de Oracle.

Aumentar karma Restar karma karma: -2 | Escrito por ZoNeRo (84.127.140.XXX) el 11 Enero 2013 a las 13:32 | #ID

vaya tonteria que me van a robar? jaja

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (80.37.217.XXX) el 11 Enero 2013 a las 13:35 | #ID

Qu� no te pueden robar, querr�s decir. Si alguien inyecta un c�digo malicioso en Java o donde sea, pueden llegar a hacer lo que quieran a tu ordenador:
-obtener acceso a tus correos, mensajes, fotos, etc... personales
-suplantarte en Twitter, Facebook o donde sea y realizar actividades ilegales en tu nombre (mobbing, extorsi�n, amenazas, etc...)
-acceso a cualquier servicio de pago en el que est�s registrado (bancos, eBay, Amazon, lo que sea...)
-y por supuesto usar tu conexi�n a internet para mandar spam, unirse a redes de ordenadores desde los que hacer ataques DDoS, instalar FTPs ocultos, etc, etc...
�Pero es que todav�a queda alguien que no entiende el riesgo potencial de una conexi�n a internet comprometida?

Add karma Subtract karma karma: 2 | Escrito por billstpor69 el 11 Enero 2013 a las 13:54 | #ID

�Piensas que existe algo llamado "conexi�n a Internet no comprometida"?

Add karma Subtract karma karma: 1 | Escrito por ZoNeRo (83.173.159.XXX) el 11 Enero 2013 a las 13:58 | #ID

~~Mientras no est� comprometida, no est� comprometida. Redundancia y pura l�gica.~~

Add karma Subtract karma karma: -5 | Escrito por Islander el 11 Enero 2013 a las 14:14 | #ID

Hombre, no existe la "seguridad perfecta", pero si te tomas la molestia de configurar bien todo (y tienes los conocimientos necesarios, claro) las posibilidades de sufrir intrusiones se reducen dr�sticamente. La inmensa mayor�a de la gente a la que le infectan el ordenador es por usar navegadores antiguos e inseguros (p.e. IE6/7/8), tener puesto el Java, el ActiveX, el Flash y no s� cuantas cosas m�s para ver cualquier p�gina web incluyendo las m�s "sospechosas", no instalar los parches de seguridad, etc...

Add karma Subtract karma karma: 1 | Escrito por billstpor69 el 11 Enero 2013 a las 15:09 | #ID

Pues yo no voy a desactivarlo.

Aumentar karma Restar karma karma: 5 | Escrito por petoro el 11 Enero 2013 a las 13:43 | #ID

No puedo desactivarlo porque si no no me va ludoteka y no puedo jugar a la cuatrola.

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (212.122.126.XXX) el 11 Enero 2013 a las 13:46 | #ID

Que lo desactiven si quieren empresas y/o tomen sus precauciones pero no metais ese miedo exagerado a particulares.

Aumentar karma Restar karma karma: 3 | Escrito por ZoNeRo (83.52.224.XXX) el 11 Enero 2013 a las 13:47 | #ID

A mi no me aparece eso que dec�s en Firefox. Lo que me aparece es:

-Java Deployment kit
-Java (TM) platform SE

�Es alguno de estos? �Puedo desactivarlos?

Gracias por ayudar al que no sabe....

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (83.37.143.XXX) el 11 Enero 2013 a las 14:05 | #ID

Efectivamente, esos son. Los desactivas y ya. Y si entras en alguna p�gina en concreto donde sabes que lo vas a necesitar obligatoriamente, lo activas sobre la marcha hasta que hayas acabado con la tarea.

Add karma Subtract karma karma: -2 | Escrito por Islander el 11 Enero 2013 a las 14:15 | #ID

Adem�s de lo anunciado, en mi Pc con windows7, java crea inestabilidad. Sobre todo con programas como Camtasia estudio o inclusive el adobe reader para Pdf. Cuando los usas, se reinicia el equipo autom�ticamente.

Fue desinstalarlo y todo solucionado. El �nico problema es que para el programa Groovedown (baja toda la m�sica en segundos directamente del servidor de GrooveShark), me hace falta.

Aumentar karma Restar karma karma: 0 | Escrito por SrDavidRuiz el 11 Enero 2013 a las 14:15 | #ID

Desde que fue adquirido por Oracle, Java ya no es lo que era. Esto pone de manifiesto que a Oracle no le interesa Java y lo esta dejando morir a base de dejadez. Una lastima que Oracle tenga esta actitud aunque ya tenemos antecedentes como con OpenOffice que al final tuvo que donarlo a la Comunidad Open Source.

Aumentar karma Restar karma karma: 2 | Escrito por ZoNeRo (212.84.206.XXX) el 11 Enero 2013 a las 14:36 | #ID

"Java es un desastre: No es seguro y hay que desactivarlo"

esto es como si llevaras a�os trabajando en algo costoso y lo tiras por la ventana como si no quiere la cosa solo por un error que se puede solucionar

Aumentar karma Restar karma karma: 1 | Escrito por ZoNeRo (79.109.44.XXX) el 11 Enero 2013 a las 15:08 | #ID

Espero que hagan un fork libre y se separen de Oracle.

Como LibreOffice de OpenOffice.

Aumentar karma Restar karma karma: 0 | Escrito por petoro el 11 Enero 2013 a las 15:15 | #ID

Eso ya existe desde hace tiempo.

Add karma Subtract karma karma: 3 | Escrito por ZoNeRo (92.58.171.XXX) el 11 Enero 2013 a las 15:34 | #ID

Como dice el compa�ero. Hace tiempo existe OpenJDK:

http://download.java.net/openjdk/jdk7/

De todas formas yo baj� un instalador no oficial, porque parece estar m�s actualizado:

https://github.com/alexkasko/openjdk-unofficial-builds

Salu2

Add karma Subtract karma karma: 0 | Escrito por Nova6K0 el 11 Enero 2013 a las 21:44 | #ID

si lo desactivo del navegador, es sufuciente?
porque tengo varios programas que lo necesitan si o si.

Aumentar karma Restar karma karma: 1 | Escrito por ZoNeRo (2.136.49.XXX) el 11 Enero 2013 a las 15:44 | #ID

Buena pregunta...

El FrostWire por ejemplo, necesita Java para funcionar... �Sabe alguien si hay alg�n peligro al utilizar los programas que requieren Java, o por el contrario, s�lo es cosa de los plugins de los navegadores?

Add karma Subtract karma karma: 1 | Escrito por ZoNeRo (81.202.1.XXX) el 11 Enero 2013 a las 16:34 | #ID

Desactivarlo en el navegador no lo deshabilita para el sistema, son independientes. O sea, seguir�n funcionando tus aplicaciones de sobremesa basadas en Java aunque no lo tengas habilitado en el navegador.

Add karma Subtract karma karma: 0 | Escrito por Islander el 11 Enero 2013 a las 17:27 | #ID

El problema b�sicamente es s�lo para el navegador. Ya que se necesita una web con c�digo malicioso, para poder explotar la vulnerabilidad. Lo peor, es que al parecer habr�a miles de webs leg�timas infectadas, como ponen mis compa�eros en la noticia.

Salu2

Add karma Subtract karma karma: 0 | Escrito por Nova6K0 el 11 Enero 2013 a las 23:40 | #ID

Vivo en Mexico

Los tramites con Hacienda son mediante su portal www.sat.gob.mx
Toda la plataforma de Hacienda esta en Java. No puedes hacer ningun tramite, ni siquiera enviar declaraciones si no tienes Java.

Hoy pregunte a soporte t�cnico, les comente que EU advirti� desinstalar Java por una vulnerabilidad de seguridad grave.
Me contestaron que debemos seguir utilizando Java de forma normal (no tienen ni idea del problema)

En Mexico, la facturacion electronica funciona mediante Java
Tambien las dependencias de gobierno, el instituto Mexicano del Seguro Social.
De que magnitud es este problema ?

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (189.244.16.XXX) el 11 Enero 2013 a las 22:47 | #ID

Por lo que estoy viendo y leyendo, muy muy grave!!!!.

Add karma Subtract karma karma: 0 | Escrito por ZoNeRo (83.32.150.XXX) el 12 Enero 2013 a las 11:01 | #ID

Estimados: tengo y uso un telefono celular (ALCATEL OT-807A) que funciona bajo la plataforma JAVA ME.
Utiliza por defecto el navegador Opera Mini.
No veo ninguna menci�n acerca de esta plataforma que utiliza JAVA ME y la vulnerabilidad de JAVA.
Estan en peligro los moviles con JAVA ME?

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (190.76.244.XXX) el 30 Abril 2013 a las 8:29 | #ID

Alguien me puede decir algo de la version 7 actualizacion 21?, est� inestable, empezando porque al comprobar en el IE o Mozilla sale la clasica ventana para permitir la ejecuci�n del programa, con la tipica casilla de relleno para "No volver a preguntar..." El caso es que esta ventana vuelve a aparecer cuantas veces lo compruebes despu�s de reiniciar el equipo y por otro lado en la ejecuci�n propia del programa para reproducir videos.

Aumentar karma Restar karma karma: 0 | Escrito por ZoNeRo (187.161.20.XXX) el 3 Mayo 2013 a las 0:20 | #ID

Afecta a todos los sistemas operativos