• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Oracle anuncia el final del plugin de Java ¡Por fin!

Oracle anuncia el final del plugin de Java ¡Por fin!

29 enero, 2016 Por Hispasec 4 comentarios

Una noticia que llevábamos tiempo esperando: Oracle ha anunciado que el plugin de Java desaparecerá de la próxima versión del JDK y JRE (versión 9). 
Oracle adquirió Java en 2010 como parte de la compra de Sun Microsystems. Aunque la fama de ser uno de los vectores de ataque para la instalación de malware y realización de intrusiones viene ya de antiguo.
Durante un buen tiempo Java fue la auténtica bestia negra para la seguridad de los usuarios, la aparición de nuevos 0-days, vulnerabilidades, etc. era tan frecuente como en la actualidad estamos viendo en Flash. Cabe señalar que el último 0-day para Java es de julio del año pasado, después de más dos años sin ningún anuncio de una vulnerabilidad de este tipo.
Pero tal y como la propia Oracle confirma la razón detrás de este movimiento reside en que los propios desarrolladores de navegadores han decidido dejar de lado la posibilidad de incrustar Flash, Silverlight, Java y otras tecnologías basadas en plugins.
Con los principales navegadores (Internet Explorer, Edge, Chrome y Firefox) restringiendo y reduciendo el soporte de plugins en sus productos no tiene mucho sentido seguir insistiendo en nuevas versiones del plugin de Java. Un producto que requiere de terceros para funcionar, pero esos otros no le dejan funcionar. Oracle, por su parte, recomienda a los desarrolladores que consideren opciones alternativas como migrar los applets de Java a la tecnología Java Web Start.
Hay que destacar que en realidad esta noticia significa el final de los applets de Java. Una tecnología que se popularizo a mediados de los 90, que se terminó por convertir en un peligro para los navegadores y que durante mucho tiempo significó la principal puerta de entrada de malware en los sistemas. No podemos olvidar que Java es un lenguaje, una librería o conjunto de librerías y una plataforma en la que poder compilar y ejecutar código en una maquina virtual, lo que conforman los tres pilares fundamentales de Java.
El final del plugin de Java tiene fecha anunciada, el 22 de septiembre de 2016, cuando se publicará el JDK 9. Sin embargo seguro que aun seguiremos viéndolo durante mucho tiempo en los ordenadores y sistemas más antiguos.

 

 

Más información:
Moving to a Plugin-Free Web
https://blogs.oracle.com/java-platform-group/entry/moving_to_a_plugin_free
una-al-dia (07/02/2000) Importante agujero en la Máquina Virtual Java de Microsoft
http://unaaldia.hispasec.com/2000/02/importante-agujero-en-la-maquina.html
Migrating from Java Applets to plugin-free Java technologies
http://www.oracle.com/technetwork/java/javase/migratingfromapplets-2872444.pdf
Java 9 Schedule
https://blogs.oracle.com/java/entry/java_9_schedule_is_out

 

una-al-dia (15/07/2015) Nuevo 0day en Java

http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html

                                                                                                  
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

 

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Comentarios

  1. Koke Laast dice

    31 enero, 2016 a las 12:40 pm

    Pues será una buena noticia para vosotros. Con todas las webs que dependen de este plugin para firmar documentos y los navegadores que no se ponen de acuerdo para incluir la firma de documentos en la API estándar de JavaScript tenemos un problema importante a la vista.

    Responder
  2. SuperPiski dice

    1 febrero, 2016 a las 9:48 am

    La noticia se podría haber titulado «Oracle termina de matar a Java». El dichoso plug-in es (era) la única forma viable de realizar tareas como la firma digital. Chrome ya lo eliminó, por lo que aplicaciones web (cientos de ellas) que realizan la firma digital en java se vieron forzadas a utilizar si o si Internet Explorer o Firefox. Ahora la pregunta es ¿Cómo se va a realizar esta tarea en el navegador? Hay que tener en cuenta que el consorcio trabaja muy despacio y la especificación de Crypto Api (https://www.w3.org/TR/WebCryptoAPI/) para navegador no deja de ser a día de hoy una «candidata». Además, la especificación es laxa, solo sirve para hacer «hola mundo» ya que algo tan básico como tomar las credenciales del navegador (el certificado de usuario a utilizar) no está bien definido. Si nos vamos a tareas de firma digital de documentos XML entonces te puedes morir. Java script no canoniza documentos por lo que toca currarse la librería «a mano».
    Dejando de un lado la firma digital, en mi compañía disponemos de una serie de formularios sobre los cuales java crea documentos xml (firmados) y los envía a nuestros servidores mediante servicios web… sin comunicación alguna entre el navegador y java…a ver como implementamos esto ahora.

    En definitiva, serán miles las webs que dejarán de funcionar sin tener a día de hoy una alternativa cross-browser utilizable: La web de la policía, la web de la agencia de protección de datos, etc., etc.,…

    Responder
  3. Dani dice

    16 agosto, 2016 a las 10:05 am

    SuperPiski, ¿Y la tecnología Java Web Start no permitirá las operaciones de firma digital?

    Responder
  4. info dice

    1 noviembre, 2019 a las 10:10 pm

    El plugin de Java para navegadores ha tenido una trayectoria bastante oscura en los ultimos anos, siendo mas famoso por sus vulnerabilidades que por otra cosa. De hecho en mas de una ocasion se ha recomendado su desactivacion para evitar riesgos por las distintas vulnerabilidades 0-Day por las que ha sido noticia.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR