Los agujeros de seguridad en Java han llegado a ser tan numerosos y graves, que los expertos hace tiempo recomiendan a los usuarios desactivar el soporte en el navegador.
Nuevamente se ha detectado una vulnerabilidad crítica en Java, que desbarata la sandbox de seguridad de Java. En esta oportunidad, prácticamente todas las instalaciones de Java se ven afectadas.
Las ediciones Java SE 5, 6 y 7 publicadas en los últimos 8 años están afectadas por la vulnerabilidad; es decir, todos los navegadores que tienen activo el soporte para Java, entre ellos Internet Explorer, Chrome, Firefox, Opera y Safari. El problema hace posible el control total de PC mediante ataques camuflados en código oculto de sitios malignos.
En teoría, más de mil millones de PC están amenazados, si ha de tomarse como punto de partida las estadísticas de la propia Oracle, empresa propietaria de Java.
Una vez más, el hallazgo ha sido hecho por la empresa polaca de seguridad informática Security Explorations. La empresa dice incluso haber alcanzado un hito, ya que es la 50° vez que revelan una vulnerabilidad crítica en Java desde abril de 2012. Security Explorations publica además una bitácora donde explican el diálogo sostenido en torno al tema con distintos proveedores.
Security Explorations es la misma empresa que reveló la vulnerabilidad conocida a fines de agosto. En total, la empresa polaca ha notificado a Oracle de más de 30 fallas críticas, la mayoría de las cuales aún no han sido dadas a conocer a la opinión pública ni solucionadas mediante parches por Oracle.
La vulnerabilidad crítica de agosto (CVE-2023-4681) fue solucionada por Oracle mediante una actualización extraordinaria una semana después. Sin embargo, luego se comprobaría que el parche en sí contenía una vulnerabilidad – aún no solucionada por Oracle.
En resumen, la situación es que Oracle no alcanza a solucionar las vulnerabilidades de Java antes que se detecten nuevas. A esto se suma el hecho que, como mínimo, tres de cuatro usuarios tampoco han instalado las actualizaciones de seguridad que, a pesar de todo, Oracle ha logrado presentar.
Varios expertos en seguridad informática sugirieron en agosto desactivar temporalmente el soporte para Java en el navegador. La pregunta natural que surge como resultado de este devenir de vulnerabilidades, parches atrasados y parches contraproducentes, es que quizás sea una mejor idea desinstalar definitivamente el software.
Nota Diario TI