• Saltar al contenido
  • Saltar a la barra lateral principal
  • Saltar al pie de página
  • Inicio
  • Auditoría
  • Eventos
  • Formación
  • General
  • Malware
  • Vulnerabilidades
  • Un blog de

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Auditoría / Mejorar y entender la seguridad del plugin de Java (y V)

Mejorar y entender la seguridad del plugin de Java (y V)

11 febrero, 2013 Por Hispasec 1 comentario

El plugin de Java se está convirtiendo en un serio problema de seguridad, llevamos meses comprobándolo. Oracle ha añadido seguridad en su configuración por defecto, y ofrecido más granularidad a los usuarios. Pero todavía es mejorable. ¿Para qué sirven las nuevas funcionalidades y qué se puede esperar de ellas?
Otra forma de controlar el plugin de Java es desde el propio navegador. Siempre existe la opción de deshabilitar el plugin o desinstalarlo del navegador, pero quizás el usuario prefiera mantener una lista blanca de páginas en las que debe usarse y paralizar la ejecución en el resto.
Chrome
Por defecto, el que mejor protege contra el plugin. Pregunta por defecto si se desea ejecutar el plugin en el navegador, y permite poner en lista blanca el dominio. En cualquier caso, existen complementos que permiten obtener mayor granularidad incluso con otros plugins. Es el caso de “NotScripts“.
Firefox
Firefox tiene la suerte de contar con NoScript, uno de los complementos más veteranos en este aspecto, que permite una gran granularidad para permitir o no la ejecución de Java, JavaScript, etc.
Internet Explorer
Este navegador cuenta con las el uso de zonas, con lo que en teoría ya viene de serie con la posibilidad de bloquear plugins y funcionalidades en páginas según listas blancas y negras. Algo muy útil… si funcionara realmente con los plugins de Java. No funciona “del todo“. En teoría bastaría con deshabilitar Java en la zona de “Internet“, que es la zona en la que “caen” todas las páginas que no se hayan establecido como “de confianza” explícitamente.
Luego, en las páginas que se quisiera mantener la funcionalidad, se pondría en la lista de la zona de “confianza“. Pero realmente no es tan sencillo. Existen muchas formas de llamar a un applet y los atacantes podrían eludir esta restricción, con ciertos “trucos“. Para mitigar el problema, el CERT de Estados Unidos ha publicado un fichero .reg que, importado en el sistema, permite realmente deshabilitar (activando el kill bit) la mayoría de los CLSIDs conocidos para Java. Pero solo lo hará para la zona de Internet del navegador. Así se podrá seguir usando la zona de “confianza” como lista blanca. La información está aquí: http://www.kb.cert.org/vuls/id/636312. Puede que incluso este .reg no esté completo, con lo que, si realmente se quiere estar seguro, lo mejor sería quizás desinstalar el plugin para el navegador Internet Explorer, y utilizar otro navegador para las páginas que necesariamente necesiten Java.
Más información:
una-al-dia (28/01/2013) Mejorar y entender la seguridad del plugin de Java (I)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del.html
una-al-dia (29/01/2013) Mejorar y entender la seguridad del plugin de Java (II)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del_29.html
una-al-dia (30/01/2013) Mejorar y entender la seguridad del plugin de Java (III)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del_30.html
una-al-dia (03/02/2013) Mejorar y entender la seguridad del plugin de Java (IV)
http://unaaldia.hispasec.com/2013/02/mejorar-y-entender-la-seguridad-del.html
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Auditoría Etiquetado como: Oracle

Interacciones del lector

Comentarios

  1. Anónimo dice

    13 febrero, 2013 en 4:01 pm

    Hola, muy buenas las notas, un pequeño detalle, cuando decís “por defecto” en realidad es “en forma predeterminada”, “por defecto” es una mala traducción del termino default.

    Responder

Deja un comentario Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral primaria

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

  • E-mail
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Populares de UAD

  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Vulnerabilidad crítica en Wordpress pasa desapercibida durante más de 6 años
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook
  • Un fallo de seguridad en Facebook permite ver fotos privadas de otros usuarios
  • Secuestro de cuenta en Facebook

Footer

Una al Día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Vulnerabilidad crítica en WordPress pasa desapercibida durante más de 6 años
  • 2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña
  • Fuga masiva de datos personales en India: 6.7 millones de usuarios afectados.
  • Una nueva familia de malware para MacOs pasa desapercibida al disfrazarse de un ejecutable de Windows
  • Nueva campaña de Phishing contra Facebook

Etiquetas

Android Apple D-Link Facebook Filtración Google iOS Koodous linux malware Microsoft Microsoft Edge MongoDB Moodle Mozilla mySQL Nagios Netgear NetWeaver NVIDIA ONTSI OpenOffice OpenSSH OpenSSL Opera Oracle OS X Pharming Phishing Photoshop PHP PostgreSQL Pwn2Own QuickTime ransomware RAT Red Hat safari Squid vulnerabilidad vulnerabilidades vulnerability Windows WordPress XSS

Copyright © 2019 · Hispasec

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumiremos que estás de acuerdo.Vale