Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Java corrige 42 vulnerabilidades y mejora un poco sus opciones de seguridad

Java corrige 42 vulnerabilidades y mejora un poco sus opciones de seguridad

Por 2 comentarios

Oracle corre una carrera de obstáculos para corregir y mejorar su plugin de Java. En la última actualización de seguridad, corrige 42 fallos, la mayoría críticos. Introduce algunas mejoras en los mensajes de advertencia y opciones, y continúa el soporte para la rama 6, que dijo que abandonaría el febrero.
Se acaba de publicar Java 7u21 y Java 6u45. Además de la cantidad de vulnerabilidades corregidas, se mejoran los mensajes de seguridad y se eliminan algunas opciones de seguridad peligrosas, inútiles y activadas por defecto. Hasta ahora, y como avisamos hace algunas semanas, los mensajes de que un applet se encontraba firmado o autofirmado no se diferenciaban mucho. Parece que han trabajado en eso… pero no demasiado.
Para empezar, han eliminado la opción «Baja» de la configuración de seguridad (la famosa palanquita) cosa se vaticinó como inútil. Permitía la ejecución de los applets no firmados de forma automática en el sistema sin preguntar.
Los mensajes sobre applets firmados cambian ligeramente, pero no demasiado. Muestra la URL por completo al Jar y cambia el mensaje de recordar la selección.

Tampoco cambian demasiado los mensajes sobre applets autofirmados.
Si el applet no está firmado, sí que cambia un poco el mensaje:
Algo interesante es que han eliminado la inútil opción sobre la que ya advertimos «Permitir otorgamiento de acceso elevado a aplicaciones autofirmadas«, que venía activada por defecto y que hacía que en la práctica un applet autofirmado se comportase como uno firmado. Pero siguen sin activar de manera predeterminada la opción de comprobar los certificados revocados o desactivar una versión anticuada de la rama 6 si la encuentra en el equipo mientras instala la 7 (al menos recordárselo al usuario).
Por lo que en realidad no ha cambiado demasiado estéticamente, y un poco su funcionalidad. Al menos, se ve que están trabajando en el asunto intensamente, y en cada nueva versión intentan mejorar. Desde enero, los cambios son notables, pero insuficientes. Los mensajes no son la solución. El bloqueo absoluto por defecto de los applets no firmados, y un sistema de actualización obligatorio y automático (también por defecto), entre otras medidas, será la única forma de proteger al usuario.
Más información:
una-al-dia (28/01/2013) Mejorar y entender la seguridad del plugin de Java (I)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del.html
una-al-dia (29/01/2013) Mejorar y entender la seguridad del plugin de Java (II)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del_29.html
una-al-dia (30/01/2013) Mejorar y entender la seguridad del plugin de Java (III)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del_30.html
una-al-dia (03/02/2013) Mejorar y entender la seguridad del plugin de Java (IV)
http://unaaldia.hispasec.com/2013/02/mejorar-y-entender-la-seguridad-del.html
Mejorar y entender la seguridad del plugin de Java (y V)
http://unaaldia.hispasec.com/2013/02/mejorar-y-entender-la-seguridad-del_11.html
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Interacciones con los lectores

Comentarios

  2. Luisa Sosa dice

    quiero ver una pelicula en cuevana, y me aparece que no tengo actualizada la versión de java. Despues para poder verla me aparece uno de esas advertencias de seguridad y le doy ejecutar.. la pelicula me carga muy lenta y siempre se queda a la mitad. Que hago?

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.