Esteu aquí

Oracle corregeix la vulnerabilitat Zero-day de Java

Oracle s'ha donat pressa (el qual és d'agrair) en corregir la vulnerabilitat de Java que va ser descoberta el passat dia 11 de gener de 2012 i que li va ser adjudicat l'identificador CVE-2013-0422 de la NVD.

Ahir Oracle publicava un update de la versió 7u10 del JDK de Java (la Java™ SE Development Kit 7, Update 11 (JDK 7u11)) i que es pot descarregar des de la seva pàgina web. També es pot fer la descàrrega des del panel de control de Java, si el teniu instal·lat.
Hi ha un canvi, que cita Oracle en la secció de "Bug fixes" de la mateixa pàgina, sobre el nivell de seguretat dels "applets" i de les aplicacions "web start" que s'incremeta, per defecte, de Mig a Alt. Això afecta a les condicions sobre les quals s'executaran les aplicacions Java que no estiguin signades. Així l'usuari sempre rebrà un avís en el moment d'executar les aplicacions no signades.

Synopsis: Default Security Level Setting Changed to High
The default security level for Java applets and web start applications has been increased from "Medium" to "High". This affects the conditions under which unsigned (sandboxed) Java web applications can run. Previously, as long as you had the latest secure Java release installed applets and web start applications would continue to run as always. With the "High" setting the user is always warned before any unsigned application is run to prevent silent exploitation.

Realment és molt positiu que Oracle hagi corregit aquesta vulnerabilitat tant ràpid, però cal tenir en compte que de moment no es massa recomanable tornar a utilitzar Java, a menys que hi hagi una necessitat específica. D'una banda Oracle va intentar (però va fallar) solucionar aquest error en una versió anterior de Java. D'altra els fabricants de malware sembla que han trobat un autèntic "filó" en els Zero-days de Java i no seria d'extranyar que aquests no es tornessin a repetir en un breu lapse de temps. La conclusió és que la majoria d'usuaris poden passar tranquilament sense la necessitat d'usar Java, encara que no necessariament ha de ser el cas de les empreses.

La recomanació més assenyada (potser) és que si ens cal usar Java perquè hem d'accedir a un lloc concret o es tracta d'una empresa, cal considerar un enfoc basat en l'ús de dos navegadors. Així si normalment utilitzem Mozilla Firefox com a navegador, per exemple, podem desactivar el pluguin de Java al Firefox i utilitzar un altre navegador (Chrome, Ms-IE9, Safari, Opera, etc ... només per navegar per aquells llocs que sigui necessari i de la nostra confiança.

Tag: