martes, 16 de abril de 2013

Java corrige 42 vulnerabilidades y mejora un poco sus opciones de seguridad

Oracle corre una carrera de obstáculos para corregir y mejorar su plugin de Java. En la última actualización de seguridad, corrige 42 fallos, la mayoría críticos. Introduce algunas mejoras en los mensajes de advertencia y opciones, y continúa el soporte para la rama 6, que dijo que abandonaría el febrero.

Se acaba de publicar Java 7u21 y Java 6u45. Además de la cantidad de vulnerabilidades corregidas, se mejoran los mensajes de seguridad y se eliminan algunas opciones de seguridad peligrosas, inútiles y activadas por defecto. Hasta ahora, y como avisamos hace algunas semanas, los mensajes de que un applet se encontraba firmado o autofirmado no se diferenciaban mucho. Parece que han trabajado en eso... pero no demasiado.

Para empezar, han eliminado la opción "Baja" de la configuración de seguridad (la famosa palanquita) cosa se vaticinó como inútil. Permitía la ejecución de los applets no firmados de forma automática en el sistema sin preguntar.


Los mensajes sobre applets firmados cambian ligeramente, pero no demasiado. Muestra la URL por completo al Jar y cambia el mensaje de recordar la selección.


Tampoco cambian demasiado los mensajes sobre applets autofirmados.


Si el applet no está firmado, sí que cambia un poco el mensaje:


Algo interesante es que han eliminado la inútil opción sobre la que ya advertimos "Permitir otorgamiento de acceso elevado a aplicaciones autofirmadas", que venía activada por defecto y que hacía que en la práctica un applet autofirmado se comportase como uno firmado. Pero siguen sin activar de manera predeterminada la opción de comprobar los certificados revocados o desactivar una versión anticuada de la rama 6 si la encuentra en el equipo mientras instala la 7 (al menos recordárselo al usuario).


Por lo que en realidad no ha cambiado demasiado estéticamente, y un poco su funcionalidad. Al menos, se ve que están trabajando en el asunto intensamente, y en cada nueva versión intentan mejorar. Desde enero, los cambios son notables, pero insuficientes. Los mensajes no son la solución. El bloqueo absoluto por defecto de los applets no firmados, y un sistema de actualización obligatorio y automático (también por defecto), entre otras medidas, será la única forma de proteger al usuario.

Más información:

una-al-dia (28/01/2013) Mejorar y entender la seguridad del plugin de Java (I)

una-al-dia (29/01/2013) Mejorar y entender la seguridad del plugin de Java (II)

una-al-dia (30/01/2013) Mejorar y entender la seguridad del plugin de Java (III)

una-al-dia (03/02/2013) Mejorar y entender la seguridad del plugin de Java (IV)

Mejorar y entender la seguridad del plugin de Java (y V)


Sergio de los Santos
Twitter: @ssantosv

2 comentarios:

  1. quiero ver una pelicula en cuevana, y me aparece que no tengo actualizada la versión de java. Despues para poder verla me aparece uno de esas advertencias de seguridad y le doy ejecutar.. la pelicula me carga muy lenta y siempre se queda a la mitad. Que hago?

    ResponderEliminar