• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Oracle anuncia el final del plugin de Java ¡Por fin!

Oracle anuncia el final del plugin de Java ¡Por fin!

29 enero, 2016 Por Hispasec 4 comentarios

Una noticia que llevábamos tiempo esperando: Oracle ha anunciado que el plugin de Java desaparecerá de la próxima versión del JDK y JRE (versión 9). 
Oracle adquirió Java en 2010 como parte de la compra de Sun Microsystems. Aunque la fama de ser uno de los vectores de ataque para la instalación de malware y realización de intrusiones viene ya de antiguo.
Durante un buen tiempo Java fue la auténtica bestia negra para la seguridad de los usuarios, la aparición de nuevos 0-days, vulnerabilidades, etc. era tan frecuente como en la actualidad estamos viendo en Flash. Cabe señalar que el último 0-day para Java es de julio del año pasado, después de más dos años sin ningún anuncio de una vulnerabilidad de este tipo.
Pero tal y como la propia Oracle confirma la razón detrás de este movimiento reside en que los propios desarrolladores de navegadores han decidido dejar de lado la posibilidad de incrustar Flash, Silverlight, Java y otras tecnologías basadas en plugins.
Con los principales navegadores (Internet Explorer, Edge, Chrome y Firefox) restringiendo y reduciendo el soporte de plugins en sus productos no tiene mucho sentido seguir insistiendo en nuevas versiones del plugin de Java. Un producto que requiere de terceros para funcionar, pero esos otros no le dejan funcionar. Oracle, por su parte, recomienda a los desarrolladores que consideren opciones alternativas como migrar los applets de Java a la tecnología Java Web Start.
Hay que destacar que en realidad esta noticia significa el final de los applets de Java. Una tecnología que se popularizo a mediados de los 90, que se terminó por convertir en un peligro para los navegadores y que durante mucho tiempo significó la principal puerta de entrada de malware en los sistemas. No podemos olvidar que Java es un lenguaje, una librería o conjunto de librerías y una plataforma en la que poder compilar y ejecutar código en una maquina virtual, lo que conforman los tres pilares fundamentales de Java.
El final del plugin de Java tiene fecha anunciada, el 22 de septiembre de 2016, cuando se publicará el JDK 9. Sin embargo seguro que aun seguiremos viéndolo durante mucho tiempo en los ordenadores y sistemas más antiguos.

 

 

Más información:
Moving to a Plugin-Free Web
https://blogs.oracle.com/java-platform-group/entry/moving_to_a_plugin_free
una-al-dia (07/02/2000) Importante agujero en la Máquina Virtual Java de Microsoft
http://unaaldia.hispasec.com/2000/02/importante-agujero-en-la-maquina.html
Migrating from Java Applets to plugin-free Java technologies
http://www.oracle.com/technetwork/java/javase/migratingfromapplets-2872444.pdf
Java 9 Schedule
https://blogs.oracle.com/java/entry/java_9_schedule_is_out

 

una-al-dia (15/07/2015) Nuevo 0day en Java

http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html

                                                                                                  
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

 

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Comentarios

  1. Koke Laast dice

    31 enero, 2016 a las 12:40 pm

    Pues será una buena noticia para vosotros. Con todas las webs que dependen de este plugin para firmar documentos y los navegadores que no se ponen de acuerdo para incluir la firma de documentos en la API estándar de JavaScript tenemos un problema importante a la vista.

    Responder
  2. SuperPiski dice

    1 febrero, 2016 a las 9:48 am

    La noticia se podría haber titulado «Oracle termina de matar a Java». El dichoso plug-in es (era) la única forma viable de realizar tareas como la firma digital. Chrome ya lo eliminó, por lo que aplicaciones web (cientos de ellas) que realizan la firma digital en java se vieron forzadas a utilizar si o si Internet Explorer o Firefox. Ahora la pregunta es ¿Cómo se va a realizar esta tarea en el navegador? Hay que tener en cuenta que el consorcio trabaja muy despacio y la especificación de Crypto Api (https://www.w3.org/TR/WebCryptoAPI/) para navegador no deja de ser a día de hoy una «candidata». Además, la especificación es laxa, solo sirve para hacer «hola mundo» ya que algo tan básico como tomar las credenciales del navegador (el certificado de usuario a utilizar) no está bien definido. Si nos vamos a tareas de firma digital de documentos XML entonces te puedes morir. Java script no canoniza documentos por lo que toca currarse la librería «a mano».
    Dejando de un lado la firma digital, en mi compañía disponemos de una serie de formularios sobre los cuales java crea documentos xml (firmados) y los envía a nuestros servidores mediante servicios web… sin comunicación alguna entre el navegador y java…a ver como implementamos esto ahora.

    En definitiva, serán miles las webs que dejarán de funcionar sin tener a día de hoy una alternativa cross-browser utilizable: La web de la policía, la web de la agencia de protección de datos, etc., etc.,…

    Responder
  3. Dani dice

    16 agosto, 2016 a las 10:05 am

    SuperPiski, ¿Y la tecnología Java Web Start no permitirá las operaciones de firma digital?

    Responder
  4. info dice

    1 noviembre, 2019 a las 10:10 pm

    El plugin de Java para navegadores ha tenido una trayectoria bastante oscura en los ultimos anos, siendo mas famoso por sus vulnerabilidades que por otra cosa. De hecho en mas de una ocasion se ha recomendado su desactivacion para evitar riesgos por las distintas vulnerabilidades 0-Day por las que ha sido noticia.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec