Las últimas horas han sido bastante ajetreadas en el mundillo de la seguridad informática y todo por una nueva vulnerabilidad crítica descubierta en la versión más reciente de Java RE (1.7).
Todo empezó con la publicación de un artículo en el blog de FireEye donde se alertaba de la existencia de un exploit que estaba siendo aprovechado activamente.
Usando de esta vulnerabilidad un atacante puede descargar software malicioso en el sistema del usuario sin su intervención. Tan solo hace falta que pulsemos sobre un enlace malicioso especialmente preparado para infectar a nuestro sistema.
La gravedad de esta vulnerabilidad se agrava mas aun tras comprobar que Oracle no ha lanzado ni tiene previsto lanzar en breve una actualización de seguridad que la solucione.
La próxima ronda de actualizaciones del software de Java está prevista para octubre e, incluso si Oracle decidiera lanzar un parche fuera de ciclo, aun tardaría unos días, tiempo más que suficiente para infectar millones de máquinas.
Hasta el momento se ha comprobada que la única rama afectada del software de Java es la mas reciente 1.7, no afectando a versiones 1.6 y anteriores (aunque estas versiones tienen sus propias vulnerabilidades).
Aunque al principio se pensó que esta vulnerabilidad afectaba únicamente a sistemas Windows, varios investigadores han comprobado que también funciona en sistemas Linux (Mozilla Firefox corriendo en Ubuntu) y Mac (Safari corriendo en Mac OS X 10.7.4) por lo que estaríamos ante una nueva amenaza multiplataforma.
De momento y debido a la ausencia de un parche de seguridad, la única recomendación posible (por muy extrema que parezca) es desactivar Java por completo en todos los navegadores que usemos.
Tanto nuestros compañeros del blog de seguridad Security by Default como la Oficina de Seguridad del Internauta ya han publicado los pasos necesarios para desactivar Java, pasos que pasamos a reproducir a continuación:
Desactivar Java en Internet Explorer
1.- Acceder al menú Herramientas > Opciones de Internet
2.- Pestaña Programas > Administrar complementos
3.- Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7
4.- Pulsar sobre el botón Deshabilitar y cerrar la ventana
Desactivar Java en Mozilla Firefox
1.- Acceder al menú Herramientas > Complementos
2.- Acceder al apartado de Plugins
3.- Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)
4.- Pulsar sobre el botón Desactivar
Desactivar Java en Google Chrome
1.- Escribir “chrome://plugins/” en la barra de direcciones del navegador para acceder al menú de plugins.
2.- Buscamos el plugin de Java y pulsamos sobre Inhabilitar
Desactivar Java en Safari
1.- Accedemos al menú Preferencias > Apartado “Seguridad”
2.- Desmarcamos la opción “Permitir Java”
Con estas medidas evitaremos que se instale malware en nuestro sistema si pulsamos por accidente en un enlace malicioso preparado por un atacante que se esté aprovechando de esta vulnerabilidad.
Pueden parecer medidas drásticas pero viendo la gravedad de esta vulnerabilidad 0-day, y sabiendo que ya ha sido incorporado un módulo en el conocido framework Metasploit, es mejor tomar todas las precauciones posibles ante la avalancha de malware que aprovecha esta vulnerabilidad que se nos viene encima.
Fuentes: Ontinet.com
0 comentarios:
Publicar un comentario