192 meneos
3335 clics
Este envío tiene varios votos negativos. Asegúrate antes de menear

Nueva vulnerabilidad de Java está siendo explotada salvajemente [ENG]

Nueva vulnerabilidad de Java está siendo explotada a gran escala en estos momentos. Se recomienda desactivar o mejor aun, desinstalar Java inmediatamente. El exploit ha sido confirmado en las versiones v1.6 Update 41 y Java v1.7 Update 15.
etiquetas: java, exploit, seguridad
usuarios: 105   anónimos: 87   negativos: 41  
72comentarios mnm karma: 14
Comentarios destacados:                 
#3   JAVA: Just Another Vulnerability Alert

:-(
#1   Es bastante patético lo de java últimamente.
votos: 7    karma: 74
#6   #1 Lo que resulta patético es que hoy en día aún quede gente con el plugin/bridge de Java activado en el navegador.

Pero ojo, no es más patético que lo de los usuarios que tienen activados plugins de Acrobat, de Windows Media PLayer o de VLC. De hecho, los últimos, son auténticos coladeros. Es un problema de concepto y de contexto de ejecución (un navegador), no de Java.
votos: 2    karma: 14
#8   #6 Ese plugin es necesario, por ejemplo para acceder al aula virtual de determinadas universidades. Así que de patético nada, más bien necesario para muchos usuarios.
votos: 28    karma: 273
#27   #8 Lo patético es que los desarrolladores sigan empeñados en hacer cosas dependientes de plugins, obligando a los usuarios a abrir auténticos boquetes de seguridad...
votos: 1    karma: 16
#53   #27 En España todo el sistema de firma electrónica, DNI electrónico y relaciones con la administración se realizan usando el plugin de Java. Por lo tanto en España usar Java es un imperativo legal, no una opción.
votos: 2    karma: 26
#59   #53 Pero puedes tener Java desactivado y activarlo solo cuando vayas a trabajar con el DNIe o con las webs que lo utilicen y consideres seguras. Con los certificados CERES no pasa, a no ser que la web utilice Java por que la hayan hecho de esa manera, en cambio con el DNIe creo que hace falta Java si o si ¿no?
votos: 0    karma: 11
#60   #53 Te pondré un ejemplo: Acrobat Reader y sus plugins de navegador han sido un problema de seguridad constante desde el inicio de los tiempos.

Algunas administraciones también te exigían que usaras formularios PDF, pero eso no supone que tengas el plugin activado en el navegador: te bajabas el PDF, lo cumplimentabas y lo reenviabas. Y si no lo permitían, activabas el plugin (que tenías convenientemente desactivado), hacías el trámite, y volvías a desactivar el plugin. Ese era el método seguro. El único.

Pues con Java pasa lo mismo. El peligro no es la aplicación (Java, Acrobat o VLC), sino el plugin 'abierto'. Y todos los plugins/extensiones --todos-- son igualmente peligrosos.
votos: 0    karma: 7
 *   binbashed binbashed
#63   #61 Definitivamente, me he explicado fatal. Le mis comentarios en #35 y #60 :-)

El problema no es lo que yo diga o deje de decir, el problema es que un montón de usuarios con el navegador correctamente configurado no podrán hacer uso de tu web. Yo, que sí tengo el plugin de Java instalado (pero desactivado), no lo activaré para acceder a tu sitio (nunca lo hago por seguridad). Ese es el problema: tu público potencial.

Bien, las alternativas: hasta hace poco sólo tenías Flash. De hecho,…   » ver todo el comentario
votos: 0    karma: 7
 *   binbashed binbashed
#35   #8 Conozco ese caso de cerca, y por ello te puedo asegurar que es doblemente triste. De hecho sigo viendo viejas y obsoletas plataformas SCORM, no solo en universidades, sino también en el ámbito corporativo. He desarrollado y certificado plataformas SCORM que no hacían uso de Java client-side... y hace ya más de 7 años de aquello. Es algo totalmente prescindible, salvo que los propios contenidos formativos incluyan simuladores en Java, sistemas de generación de gráficos con applets, etc.…   » ver todo el comentario
votos: 8    karma: 86
 *   binbashed binbashed
#46   #44 Lo he explicado en #35
votos: 1    karma: 14
#51   #46 Yo estoy de acuerdo. A día de hoy es más práctico hacer interfaces web con llamadas ajax constantes. Los beneficios marginales de usar un applet no son demasiado. Se puede prescindir por completo.

Por otro lado el estándar scorm en cliente no tiene nada que ver con java, es una api javascript, aunque creo que no te he entendido bien en ese punto.

Otra cosa es que se hicieran materiales de elearning con applets, hace años, aunque lo que más se usa es el flash... y ahora que flash está medio muerto, pues a cambiar todo otra vez :-D

Pero eso no quita que siga habiendo muchísimas apicaciones corporativas hechas con applets java.
votos: 1    karma: 18
#55   #51 En efecto, el enlace con el API SCORM se hace con Javascript desde hace años, pero quedan un montón de plataformas que usan (normalmente por copypaste de otros proyectos) un API empotrada en un applet Java e invocada, claro, desde JS. Normalmente pertenecen al viejo estándar SCORM 1.2 que aún se usa con sorprendente profusión. De hecho, la siguiente versión (SCORM 2004) no ha sido ampliamente adoptada ni en el 2012 xD

Las unidades formativas basadas en applets fueron pocas y desaparecieron, como bien dices, en favor de Flash. Aunque en algunos casos tenían su sentido porque hacer un programa serio y complejo en Flash (ActionScript) era un infierno.
votos: 0    karma: 7
 *   binbashed binbashed
#44   #6 Pues acabas de cargarte miles de aplicaciones corporativas si lo desactivas... Para empezar, sólo en mi empresa varios cientos de personas lo necesitan...
votos: 0    karma: 7
#61   #6 Hola, mi página web tiene unas animaciones que necesitan java: www.rubikaz.com . Sí, ya veo que es patético que necesite java el que use en mi web, pero si sabes alguna manera sencilla de hacer lo mismo (las animaciones no las he programado yo, solo las inserto variando unos parámetros en html) te lo agradecería...
votos: 0    karma: 7
#2   Hace mucho que lo tengo deshabilitado.

Lo de las webs que usan applets parece de otra época.
votos: 1    karma: 22
#39   #2 Por ejemplo la direccion general de policia y su dni electronico. :-D
votos: 2    karma: 22
#69   #39 Ya tengo motivo para no usarla.
votos: 0    karma: 8
#3   JAVA: Just Another Vulnerability Alert

:-(
votos: 47    karma: 374
#4   Aclarar que la vulnerabilidad, es únicamente con el java de oracle. Los que utilizamos openjdk en principio no están afectados
votos: 21    karma: 198
 *   pmg1
#66   #4 #21 No me hagais mucho caso, pero openjdk está desarrollado por oracle y comparte código con java oficial, de hecho siguen el mismo versionado. Así que si es vulnerable uno lo es el otro. No pongo la mano en el fuego por ello pero creo que es así.
votos: 0    karma: 6
#71   #66 No es cierto, en la vulnerabilidad anterior a esta sólo afectó a los Windows y creo que a los Apple.
votos: 0    karma: 10
 *   Ramanutha Ramanutha
#72   #71 Si sólo afectó a windows una vulnerabilidad anterior será por alguna característica de la plataforma, porque en linux está tanto openjdk como oracle java. O estás diciendo que una vulnerabilidad anterior no afectó a openjdk pero sí a oracle java? Porque no es eso lo que se entiende.

De cualquier manera, sólo tienes que entrar a openjdk.java.net/ para ver lo que pone "...Oracle JDK 7 product binaries for Solaris, Linux, Mac OS X or Windows, which are based largely on the same code". Como suponía oracle java y openjdk están basados en el mismo código, lo que tiene mucho sentido porque una misma empresa no iba a crear dos implementaciones de un software tan grande.
votos: 0    karma: 6
#5   Para partirse la caja la traducción de está siendo explotada salvajemente. Lo siento, pero lo veo irrelevante, si vamos a sacar en portada cada vulnerabilidad de Java no acabamos nunca, además con tener el plugin desactivado asunto resuelto, algo que seguro muchos meneantes ya hacen, y firefox también, con cada versión vulnerable.
votos: 29    karma: 247
#56   #5 A mí todavía me duelen los ojos al ver la traducción.

¡qué bajo ha caido meneame! Una noticia mal traducida a idea para hacer microbloging enlazando a una web fiable al 100% que promociona todo y cuanto tiene que ver con Microsoft y boicotea todo y cuanto le hace la competencia (Oracle Java) y que entre otras perlas afirma que el navegador Chrome de Google está de capa caida y que IE sigue avanzando posiciones (thenextweb.com/insider/2013/03/01/internet-explorer-continues-growth-p)
votos: 0    karma: 9
#68   #5 #18 #19 Ya puestos, yo lo hubiera traducido como "a lo loco" :-D
votos: 0    karma: 10
#7   La solución es lo mas sencillo del mundo : Ubuntu y sin mierdas de plugins activados. Yo ya solo me meto a windows para jugar (y suele ser offline) y por desgracia en el trabajo que todavía tenemos unos flamantes, aunque seguros, W2K.
votos: 11    karma: -68
#10   #7 el s.o que uses es irrelevante, no comentemos sin tener ni idea.
votos: 5    karma: 48
#13   #7 ¿la solución es cambiar de SO? :palm:
votos: 13    karma: 117
#16   #13 Pero solo si es a ubuntu, he oido que es la solucion a todos los males y da superpoderes al que lo usa.
votos: 4    karma: 31
#26   #16 Ya te digo. Voy a probar, a ver si también lava la ropa.

#20 Es necesario para muchos, incluso hay partes de la administración electrónica que usan java. Ahora, lo mejor es tenerlo deshabilitado cuando no lo necesites y activarlo cuando sea necesario. Es lo que yo hago.

#21 Hombre, yo apostaría por deshabilitarlo (que no desinstalarlo) hasta que haya un parche, y activarlo en donde lo necesites.

#25 creo que te has confundido al citarme

#28 ok
votos: 0    karma: 6
 *   Marx
#36   #16 Oíste mal... o entendiste lo que te dio la gana. Pero bueno, no merece la pena discutir con anormales quisquillosos. Usa tu sabor de Linux favorito. Para mi, que soy el que comenta, la solución es esa. Si tu vas de divo con soluciones universales: enhorabuena chaval. Enganchate a un Gentoo a ver si con suerte haces mas útil con cada pulsación de tecla que hacer mofa de los demas :-P (sin acritud)
votos: 0    karma: 6
#50   #36 En primer lugar no tengo muy claro pq vas tildando a la gente de "anormales quisquillosos" , mas aun despues de la sandez que dices. Tampoco tengo muy claro de donde te sacas que lo que he dicho lo decia especificamente por ti , pero bueno que si quieres un consejo de "anormal quisquilloso" tomatelo con mas calma, disfruta, no te lleves mal rato, la vida es algo mas que ubuntu,gentoo y esas cosas como para ir insultando a la gente por ahi por nimiedades.

Yo no voy de…   » ver todo el comentario
votos: 0    karma: 5
#21   #7 #13 Si el agujero de seguridad afecta solamente a la JVM de Oracle, como parece ser, la solución es instalar OpenJDK. En Linux esta es la distribución de java por defecto así que no hace falta hacer nada. En Windows/OSX solamente hace falta descargarse el instalador y asunto solucionado. Por ejemplo: community.openscg.com/se/openjdk/
votos: 3    karma: 35
cat cat
#32   #21 A mi con eso Minecraft me va de culo :-(
votos: 0    karma: 7
#25   #13 ... no me has entendido...
votos: 0    karma: 6
#28   #13 perdona ,el que entendió mal fui yo.
votos: 0    karma: 6
#30   #13 Si... lo siento pero a veces la mejor solución, es AMPUTAR.
votos: 2    karma: -9
#34   #30 Cambiar de SO no es amputar, es matar y enterrar.

Si quieres amputar algo, amputa Java desinstalándolo y aún así será drástico pero al menos no tan exagerado como cambiar de SO.

Por cierto, me hizo gracia lo de Ubuntu en vez de Linux, cualquier linux.
votos: 1    karma: 12
#37   #30 Entonces a base de amputar nos quedamos sin nada.
votos: 0    karma: 6
#41   #30 Claro, hay un fallo en un programa y cambias de SO...
votos: 0    karma: 7
#45   #41 Si y no veo donde está el trauma. YO cambio de SO constantemente, y no soy ni ingeniero ni KernelDeveloper. Pero como mucho mucho cada 6 meses tengo uno nuevo puesto por máquina (portatil, netbook, sobremesa y si me apuras ROM del movil tambien lo meto en el recuento). Es ultra-sencillo cambiar entre ellos, a poco que tengas un disco duro con backup de tus datos (que a día de hoy no concibo que no se tenga hecho) a si que no se que parte del cambio de un SO da tanto miedo! lo único dificil…   » ver todo el comentario
votos: 0    karma: 6
#52   #45 Es que a un ingeniero no creo que le apetezca estar cambiando... Y cambiar entre ellos es una tarea muy tediosa si usas el PC para algo más que navegar,cambiar programas, configuraciones...
votos: 0    karma: 7
 *   --151124--
#70   #45
Instalar y actualizar el SO que te llevará 30min o más

exportar e importar tus archivos, aunque te lleve 15 minutos.

Reinstalar todo el software que a veces no te acuerdas del nombre de algunos programas, aunque te lleve 30min que muchas veces es más.

Adaptar el SO a la configuración que tenías antes, instalar impresoras, impresoras de red, configurar red (ips, dns...), archivos compartidos, sus permisos, usuarios, archivos sincronizados, cinco cuentas en outlook con sus calendarios y…   » ver todo el comentario
votos: 0    karma: 6
 *   Marx
#54   #7 Ubuntu es lo más inseguro que hay, además es la distro de los lameruzos. Una Gentoo o una Arch como $DEITY manda o nada. Y si no sabes instalarlo, RTFM al canto, me da igual que no hayas tocado la consola en tu vida: búscalo en el puto Google, aprende a programar en C, a compilar el kernel, a utilizar git, bazaar y svn y a ajustar los parámetros de /etc. Y si tu hardware no está soportado compra otro y ves comprando hasta que encuentres uno que funcione.
[/el típico talibán con sus consejos sin sentido común]
votos: 4    karma: 23
 *   notImpressed notImpressed
#58   #7 Ese sistema operativo esta por terminar, por eso es gratis, jajajaaaaaaaaaaaaaaa
votos: 1    karma: 12
#9   El titular parece salido de Cuanto Cabrón. "Estas tranquilamente navegando cuando de repente, ¡una vulnerabilidad salvaje aparece...!"
votos: 6    karma: 69
#11   Hoy me ha saltado una actualización de Java, no sé si será un parche para esto. ¿Sabéis algo?
votos: 0    karma: 7
#12   Yo usaba bastante cyberduck en OsX, y ya he tenido que buscar alternativas no tan buenas... pq resulta q esta hecho en Java :-(
votos: 0    karma: 9
votos: 0    karma: 11
#24   #14 Es el que uso ahora, pq ya lo usaba en Win, pero Cyberduck tenia detalles que le faltan a Filezilla y una interfaz mucho mas comoda :-/
votos: 1    karma: 20
#38   #12.... esta hecho en java...... y?

Es mas: esta hecho en java????? seguro????
votos: 0    karma: 10
 *   dreierfahrer dreierfahrer
#47   #38 Seguro, pq desinstale Java, y al ejecutar Cyber me pidio que instalara un JRE. Acto y seguido, desinstale Cyber xD

#42 Seguramente, pero solo tenerlo para el Cyber, y viendo el percal, a su casa caracol...
votos: 0    karma: 9
#49   #47 hay un montón de programas habituales que usan Java, si no estoy equivocado: OpenOffice, Minecraft, Jdownloader, etc...
votos: 2    karma: 23
#40   #12 Oooops, no lo sabía... Pues lo buscaré un sustituto...
votos: 0    karma: 6
#42   #12 No se mucho del tema, pero creo que no tiene nada que ver. Puedes usar una aplicación que requiera Java en tu ordenador y a la vez tener Java desactivado en el navegador web. Si desactivas Java en el navegador, podrás seguir usando la aplicación Cyberduck sin problema alguno de seguridad.

Si estoy equivocado, ruego que alguien me corrija, pero creo es así.
votos: 1    karma: 17
#62   #12 Yo desactivaría el plugin Java en los navegadores y seguiría usando Cyberduck.
Es más, estoy un poco harto de FileZilla en Mac y creo que le voy a dar una oportunidad al tuyo ;)
votos: 0    karma: 6
#15   Lo lógico sería que los que llevan Java, es decir Oracle, solucione inmediatamente el problema de alguna forma, es decir...¿Por qué tengo que andar desactivando Java? No todo el mundo tiene por qué saberlo...
votos: 0    karma: 9
#17   Como sigamos lanzando a portada cada bug de una aplicación, va a acabar esto petado.
Y no me vengáis con que Java es usado en muchos sitios y tal.. hay muchísimo software que es enormemente utilizado y lleno de bugs, y no por eso son portada.

Eso sí, propongo buguéame.net :-P
votos: 2    karma: 22
#18   Definición de "in the wild" en el contexto de la seguridad informática:

"According to noted computer virus expert Paul Ducklin, in order for a virus [entiéndase extensible a malware, exploit, etc] to be considered in the wild, "it must be spreading as a result of normal day-to-day operations on and between the computers of unsuspecting users." Although there are an estimated 47,000 computer viruses, fewer than 600 are said to be circulating outside of laboratories and research facilities - hence, in the wild."

searchsecurity.techtarget.com/definition/in-the-wild
votos: 3    karma: 32
 *   jacobino jacobino
#19   In the wild != salvajemente
Da a entender que está siendo explotada masivamente, cuando más bien es lo contrario según el artículo.
votos: 3    karma: 38
 *   levante_star levante_star
#20   Patético tener instalado el plug in de java? Algunos os deberíais mirar el ego...
Para mi es bastante necesario, pero.perdón por no.saber tanto de ordenadores.
votos: 1    karma: 15
#22   Vaya puta mierda! Estoy hasta los cojones de tener que andar pendientes de estas polladas a todas horas. Esta gente no sabe hacer bien su trabajo?? Des-instalado!
Lo peor es que hay herramientas que utilizo que funcionan bajo esta mosta...
votos: 0    karma: 6
#23   The good news is that the security company says the exploit is “not very reliable” as it tries to overwrite a big chunk of memory and often results in the JVM crashing.

Un exploit inútil que solo sirve para colgar java, y según el titular se esta usando salvajemente. Mas sensacionalista no puede ser...
votos: 3    karma: 36
#29   Desde luego lo de Java, parece una broma. Cada vez que arreglan un agüjero, le salen 2 mas. Parece como si Oracle quisiera dejar morir a Java por alguna razón.
votos: 0    karma: 6
#31   Y ahora como voy a jugar Minecraft
votos: 0    karma: 9
#33   Oracle cagandola de nuevo, ¿Por que no le dan un tiro a java directamente?.. echo de menos a Sun
votos: 1    karma: 12
 *   txalimero
#43   Titulares alternativos a Explotada salvajamente.

Explotada brutalmente.
Explotada atrozmente.
Explotada acojonantemente.
Explotada como si no hubiese un mañana.

No. En serio ?
votos: 2    karma: 26
#48   in the wild = suelto

wildly = salvajemente
votos: 0    karma: 10
#57   #48: Con esa actitud nunca serás contratado como redactor de titulares.
votos: 2    karma: 26
#67   #57 Mejor, así puedo escribir sin que me digan lo que debo decir :-)

Lo que más me preocupa es que estoy aprendiendo Java como mi primer lenguaje (para intentar hacer algo para Android) y últimamente sólo salen noticias negativas...
votos: 0    karma: 10
#64   Como desarrollador de aplicaciones en Java que soy, me gustaría aclarar algunas cosas:

-Los fallos que están saliendo últimamente son fallos que afectan al plugin de Java para los navegadores. Mi consejo es tener dos navegadores instalados: uno sin el plugin de Java (el habitual) y otro con el plugin para poder usar Java en las páginas que nos obligan a usarlo pero sabemos que son seguras (por ejemplo la de Hacienda, la de las universidades... etc).
Nota: Que lo diga un javero puede resultar…   » ver todo el comentario
votos: 3    karma: 29
comentarios cerrados

menéame