Sigue el complemento de Java para el navegador dando de qué hablar en cuanto a su seguridad.
Adam Gowdiak, de Security Explorations, ha calificado como “sólo una teoría” a la configuración de la seguridad de Java.
Lo anterior, al afirmar que es posible eludir las restricciones de seguridad y ejecutar código Java sin firmar malintencionado.
Las pruebas de concepto realizadas por Security Explorations, la compañía que desde septiembre ha insistido en los fallos de seguridad de Java, revelan el fallo en la versión más reciente de Java SE, la 7u11 (JRE versión 1.7.0_11-b21) en sistemas Windows 7 cuya seguridad fue configurada como “Very High” en el Panel de Control de Java.
Apenas la semana pasada Gowdiak había confirmado dos nuevas vulnerabilidades en Java.
Para Gowdiak las mejoras de seguridad recientes a Java no evitan en absoluto la explotación silenciosa de las vulnerabilidades. Los usuarios que necesitan de Java en el navegador necesitan confiar en la funcionalidad “Click to play” de algunos navegadores, como Firefox, para mitigar el riesgo de dicha explotación silenciosa. Con dicha funcionalidad, el complemento se ejecuta sólo hasta que le des click.
Para quienes no pueden desactivar Java en el navegador porque lo requieren, la posibilidad de explotación silenciosa del fallo se torna crítico al tener que usar el complemento de Java. Es recomendable mirar otras opciones para protegerse si se tiene que usar Java en el navegador, en tanto Oracle lo corrige. Por ejemplo utilizar entornos específicos y aislados del equipo, como un Live CD o una máquina virtual.