BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Sobre la tremendísima vulnerabilidad de Java

mceds
2

Actualización: Oracle ya ha lanzado el parche. Actualizad a la mayor brevedad

El titular es sensacionalismo puro, claro.

Desde el jueves pasado que se descubrió esto, estoy leyendo de todo y, como es costumbre en las noticias sobre seguridad informática, la desinformación campa a sus anchas. Vamos a ver si podemos dar algunas claves básicas:

1. El agujero de seguridad en Java es real y está calificado como extremadamente crítico. Aquí no hay exageración. Bueno, igual en la prensa lo comparan con la caída de un asteroide o el regreso de los Backstreet Boys. Pero ya sabemos de qué pie cojean en los medios.

2. Java no tiene nada que ver con Javascript. Ya sé que esto es muy básico para nosotros, pero la gente de a pie o incluso los que van a caballo se acojonan.

3. El Java afectado es el de Sun... Oracle. Única y exclusivamente, porque no han lanzado aún ningún parche. Los que tengáis instalado el Java de OpenJDK (fundamentalmente, usuarios de GNU/Linux... Ubuntu) convenientemente actualizado no tenéis que preocuparos de nada. Eso sí, actualizad.

4. Las versiones afectadas de Oracle Java son las 1.7.x, también conocidas como 7.x a secas. No hay noticias de esta vulnerabilidad en la 6 y anteriores (ya he leído por ahí que son todas las versiones, hasta las que soñó James Gosling cuando Antonio Resines soñaba con él). De todos modos, no es conveniente seguir usando versiones viejas, afectadas por otras vulnerabilidades.

5. El foco de infección principal es el navegador. Podéis seguir usando sin problemas aplicaciones hechas en Java, como la archifamosa JDownloader, siempre que los descarguéis/actualicéis del sitio oficial (esto ya es seguridad informática básica). No, Softonic no es el sitio oficial.

6. La recomendación para los navegadores es deshabilitar Java. Sin medias tintas.

7. Si necesitáis trabajar con alguna página que requiera Java (chats, Administración Pública española...), descargad un nuevo navegador, habilitad Java en él y usadlo sólo para entrar en esas páginas concretas que requieren Java. Como casi todo el mundo tiene Internet Explorer, Firefox y Chrome instalados, yo sugeriría Opera como "navegador Java de emergencia". Y oye, igual os gusta.

8. Sí, habéis oído que vuestro teléfono Android "funciona con Java". En realidad, es el lenguaje en el que están escritas la mayor parte de las aplicaciones para Android. Pero el Java de Google es diferente al de Oracle y está a salvo de esta vulnerabilidad. De ésta¹.

¹Generador automático de frases para cabrear a fandroids™ :P

BocaDePez
BocaDePez

Buenos días. Estás comentando sobre "la vulnerabilidad" y "el agujero de seguridad" como si ya tuviésemos noticias previas del problema.

Para los que no estamos al tanto (bueno, yo no tengo instalado Java así que no me preocupa) podrías enlazar a artículos que hablen sobre ello.

Sí, ya sé que existe Google, pero se agradecería... aunque fuese solo por netiqueta.

Un saludo.

🗨️ 1
mceds

Hostia, pues ha sido tan comentado que creía que, cuatro días después, todo el mundo estaba al tanto.

El problema es que es complicado encontrar una noticia que no cometa algún fallo, sobre todo con el punto 4. Así que me saltaré la netiqueta y os enviaré a Google:
google.com/news?q=java&lr=Spanish&hl=es

vukits

Java es el nuevo ActiveX en todos los sentdiso :P

mceds

Edito el punto 4 para no crear sensación de falsa seguridad ("pues no actualizo a la 7 y solucionado").

BocaDePez
BocaDePez

Afecta esto a la 1.8 beta ?

🗨️ 1
mceds

Buena pregunta. En Secunia no dicen nada sobre la 1.8.x, pero posiblemente sólo trabajen con versiones finales.

Desde luego, sería bastante estúpido que en Oracle hubiesen parcheado las versiones de desarrollo y se negasen a hacer lo propio con las comerciales. Pero vaya usted a saber.

Se podría probar el exploit en una máquina virtual, pero yo salgo de viaje y no puedo.

BocaDePez
BocaDePez

Igual me equivoco pero cuando dices Java OpenSDK ¿no es Java OpenJDK?

🗨️ 1
mceds

Gracias, corregido.

superllo

Java es la ETA.

$ apt-cache policy openjdk-6-jre
openjdk-6-jre:
  Instalados: 6b24-1.11.5-0ubuntu1~12.10.1
  Candidato:  6b24-1.11.5-0ubuntu1~12.10.1
  Tabla de versión:
 *** 6b24-1.11.5-0ubuntu1~12.10.1 0
        500security.ubuntu.com/ubuntu/ quantal-security/universe amd64 Packages
        500archive.ubuntu.com/ubuntu/ quantal-updates/universe amd64 Packages
        100 /var/lib/dpkg/status
     6b24-1.11.4-3ubuntu1 0
        500archive.ubuntu.com/ubuntu/ quantal/universe amd64 Packages
🗨️ 1
mceds

Qué va, ETA es SSH y su herramienta de copia remota SCP. Estaba pasando un archivo al móvil y me ponía a la derecha:

ETA: 3:30

Ya he dado aviso a la Guardia Civil.