El parche de Java cubre 19 agujeros de seguridad – Krebs on Security

Oráculo esta semana lanzó su actualización de parche trimestral para Java, un programa ampliamente instalado que para la mayoría de los usuarios casuales probablemente haya introducido más vulnerabilidad que utilidad. Si tienes Java instalado y lo requieres para alguna aplicación o sitio Web, es momento de actualizarlo. Si no está seguro de tener Java en su computadora o no está seguro de por qué todavía lo tiene, siga leyendo para obtener consejos que podrían ahorrarle algunos dolores de cabeza de seguridad en el futuro.

La actualización de Oracle trae Java 7 a Actualización 75 y Java 8 a Actualización 31y corrige al menos 19 vulnerabilidades de seguridad en el programa. proveedor de seguridad Calificaciones notas que 13 de esos defectos son remotamente explotables, con un Puntuación CVSS de 10 (la puntuación más severa posible).

Los usuarios de Java 7 deben saber que Oracle planes para comenzar a usar la función de actualización automática integrada en el programa para migrar a esos usuarios a Java 8 esta semana.

Según un nuevo informe (PDF) de cisco, los ataques en línea que aprovechan las vulnerabilidades de Java se redujeron en un 34 por ciento en el último año. Cisco reconoce que esto se debe a las mejoras de seguridad en el programa y a los malos que adoptan nuevos vectores de ataque, como Microsoft Silverlight defectos (si eres un netflix suscriptor, tiene Silverlight instalado). Sin embargo, mi mensaje sobre Java seguirá siendo el mismo: parchearlo o lanzarlo.

El problema con Java es que tiene una base de instalación muy amplia, pero muchos usuarios ni siquiera saben si lo tienen en sus sistemas. Hay algunas formas de averiguar si tiene Java instalado y qué versión se está ejecutando. Los usuarios de Windows pueden buscar el programa en la lista Agregar o quitar programas de Windows, o visitar Java.com y hacer clic en «¿Tengo Java?» enlace en la página de inicio. Las actualizaciones también deben estar disponibles a través de la Panel de control Java o de Java.com.

Si realmente necesita y utiliza Java para aplicaciones o sitios web específicos, tómese unos minutos para actualizar este software. En el pasado, la actualización a través del panel de control seleccionaba automáticamente la instalación de software de terceros, así que asegúrese de buscar cualquier «complemento» preverificado antes de continuar con una actualización a través del panel de control de Java.

De lo contrario, considere seriamente eliminar Java por completo. Durante mucho tiempo he instado a los usuarios finales a desechar Java a menos que tengan un uso específico para él (este consejo no se adapta a las empresas, que a menudo tienen aplicaciones heredadas y personalizadas que dependen de Java). Este programa potente y ampliamente instalado está plagado de agujeros de seguridad y es un objetivo principal de los creadores de malware y los malhechores.

Si tiene un uso afirmativo o necesita Java, hay una manera de tener este programa instalado y minimizar la posibilidad de que los delincuentes exploten fallas desconocidas o sin parches en el programa: desconéctelo del navegador a menos y hasta que esté en un sitio que lo requiera (o al menos aproveche el clic para reproducir, que puede impedir que los sitios web muestren contenido Java y Flash de forma predeterminada). Las últimas versiones de Java permiten a los usuarios deshabilitar el contenido de Java en los navegadores web a través de Panel de control Java. Alternativamente, considere un enfoque de navegador dual, desconectando Java del navegador que usa para navegar todos los días y dejándolo conectado a un segundo navegador que solo usa para sitios que requieren Java.

Para usuarios avanzados de Java, o para aquellos que tienen problemas para actualizar o eliminar una versión anterior obstinada, recomiendo javaraque puede ayudar a reparar o eliminar Java cuando fallan otros métodos (requiere la NET Framework microsoft).

Muchas personas confunden Java con JavaScript, un poderoso lenguaje de secuencias de comandos que ayuda a que los sitios sean interactivos. Desafortunadamente, un gran porcentaje de los ataques basados ​​en la web usan trucos de JavaScript para imponer software malicioso y exploits a los visitantes del sitio. Para obtener más información sobre las formas de administrar JavaScript en el navegador, consulte mi tutorial Herramientas para una PC más segura.