Oracle lanza otra actualización de Java, arreglando 50 vulnerabilidades

Tras las revelaciones de vulnerabilidades de los investigadores de seguridad en la última actualización de Java lanzada en enero, Oracle se apresuró antes de lo previsto otro paquete de soluciones para el lenguaje de programación.

La última actualización, originalmente programada para febrero 19, contiene 50 soluciones de seguridad para 49 fallas que se podían explotar remotamente sin autorización. Eso significa que se pueden usar en una red sin el conocimiento de un nombre de usuario y contraseña.

Oracle dijo que se actualizó temprano porque una de las vulnerabilidades tratadas en la actualización ya se está explotando en la naturaleza.

[Más información: Cómo eliminar el malware de su PC con Windows]

"Debido a la amenaza planteada por un ataque exitoso, Oracle recomienda encarecidamente a los clientes aplicar correcciones de CPU lo antes posible", advirtió la compañía en un aviso de actualización.

Oracle se apresuró fijó una solución de seguridad para Java en enero luego de que el Equipo de Preparación para Emergencias Informáticas (CERT por sus siglas en inglés) del Departamento de Seguridad Interna recomendó que todos sus usuarios inhabilitaran el software debido a problemas de seguridad. Esas inquietudes involucraban una vulnerabilidad de Zero Day explotada por toolkits creados por ciberdelincuentes y utilizada para robar información confidencial de computadoras.

Incluso después del lanzamiento de esa corrección, Java 7 update 11, la agencia aún recomendaba apagar Java a menos que usarlo fuera absolutamente necesario.

Rápidamente se hizo evidente que la solución 7u11 había perdido su marca. Apenas unos días después de su lanzamiento, un hacker comenzó a vender en el mercado negro en línea un par de vulnerabilidades de Java Zero Day nuevas por $ 5000 cada una. Otros hackers, quizás sin las habilidades para encontrar vulnerabilidades, comenzaron a explotar los titulares sobre los problemas de Java montando expediciones de phishing que ofrecen actualizaciones falsas del lenguaje de programación de Oracle. Después de la instalación por un usuario, la actualización falsa instala una puerta trasera a un sistema que permite que un hacker la controle.

Se encontraron fallas en la actualización

Las desgracias de Java continuaron más adelante en el mes Security Explorations, una empresa de seguridad polaca con una historia de encontrar fallas de seguridad en Java, descubrió nuevas vulnerabilidades en la actualización 7u11 que podrían ser explotadas para evitar la zona de pruebas del programa, una técnica de programación utilizada para aislar el daño que el código malicioso puede causar a un sistema.

"Estos problemas continuarán hasta que Oracle arregle el arenero ", dijo el analista senior de amenazas electrónicas de Bitdefender, Bogdan Botezatu, en una entrevista.

Botezatu fue crítico con respecto a cuánto confió Oracle a los usuarios para mantener la seguridad en la actualización 7u11.

Por ejemplo, la actualización establece, de manera predeterminada, el nivel de seguridad más alto para Java. En ese nivel, cada vez que un applet Java sin firmar intenta ejecutarse en un navegador, aparece un mensaje que advierte a un usuario que la aplicación puede ser peligrosa y que el usuario debe correr bajo su propio riesgo.

Por lo general, los usuarios ignoran dichas advertencias porque los encuentran molestos Eso es particularmente cierto para los niños que juegan juegos de Java en la Web, un hecho, señala Botezatu, que no se pierde en los desesperados digitales. "He visto muchos sitios web que ejecutan malware de Java en páginas que han sido optimizadas con palabras clave dirigidas a niños", dijo.

Con la última actualización de Java, Oracle puede estar tratando de cambiar su suerte con el programa. Parece que omitió la actualización 12 en su esquema de numeración y designó el último paquete de soluciones, la actualización de Java 7 13.