Security Explorations ha confirmado que Java sigue siendo vulnerable, inclusive su versión más reciente 7u11 . En septiembre los investigadores de Security Explorations reportaron las vulnerabilidades en Java 5, 6 y 7, y desde entonces insisten en que Java no es seguro de usar.
Adam Gowdiak, ejecutivo de Security Explorations, ha referido dos nuevas vulnerabilidades que han descubierto en Java. Dijo que ya las han reportado a Oracle, junto con el código de la prueba de concepto.
Las vulnerabilidades exponen a los usuarios del Java vulnerable a ataques de malware para tomar el control del sistema.
Apenas la semana pasada, el lunes, Oracle parchó Java en lo que es la nueva versión 7u11 y que ya los expertos en seguridad decían que no era seguro seguir utilizando Java debido a que aún contenía vulnerabilidades. Inmunity Products dijo que Oracle había corregido sólo una de las dos vulnerabilidades que Java tenía antes de la 7u11.
A mediados de la semana se sabía de código de explotación que se ofrecía por 5 mil dólares para explotar una vulnerabilidad en Java 7u11. Se desconoce si se trata de una nueva vulnerabilidad o está relacionada con las que se han confirmado ahora.
Los atacantes están aprovechando el revuelo de los fallos de Java para difundir una falsa actualización de Java. Paul Pajares, analista de fraude en Trend Micro, escribió en el blog de la casa antivirus que dicha actualización es un malware que al ejecutarse se conecta a un servidor remoto que permite al atacante tomar el control del sistema infectado.
Las recomendaciones son desactivar Java en el navegador, lo que puede hacerse en el Panel de Control de Java. Y hacer caso omiso si de repente al navegar le aparece que debe actualizar Java. En tal caso, es mejor actualizar Java desde el sitio oficial de Java (java.com), donde también es posible verificar la instalación de Java.