Oracle ha resuelto 40 problemas de seguridad en Java e incluye una revocación de certificados online por defecto en su nueva versión. 34 de las vulnerabilidades parcheadas en la actualización 25 de Java 7 (Java 7u25) afectan solo a implantaciones cliente de Java. Otras cuatro atacan tanto a la parte cliente como servidor, una al instalador Java y otra a la herramienta Javadoc, que se utiliza para crear documentación HTML.
Muchas de las vulnerabilidades de la versión cliente recibieron la máxima puntuación en la escala de vulnerabilidades que utiliza Oracle. Estas fallas pueden ser explotadas para tomar el control de computadoras y alojar applets Java infectados, aplicaciones web de Java sobre servidores remotos, y así engañar a los usuarios para que los carguen en sus navegadores.
Gran parte de los ataques basados en la web que se han registrado este año se han dirigido a usuarios de Java, aprovechando vulnerabilidades del plug-in de su navegador, lo que ha puesto en tela de juicio la seguridad de la plataforma Java, tanto entre muchos usuarios particulares como empresariales, donde Java también es muy utilizado en servidores.
Para diferenciar claramente entre los riesgos de seguridad de las versiones cliente y servidor, Oracle comenzó a enviar un entorno independiente Java (Java Runtime Enviroment) el pasado mes de abril.
El problema referido a Javadoc podría afectar a usuarios que visiten páginas HTML, generadas con la herramienta alojada en servidores web. “Algunas páginas, que fueron creadas por cualquier versión 1.5 o posteriores de Javadoc, son vulnerables”, reconoció Eric Maurice, director de software de seguridad en Oracle en una entrada de blog. “Si se explota esta vulnerabilidad, es posible que el atacante pueda incluir frames en páginas web vulnerables, y así dirigir a usuarios desprevenidos hacia páginas maliciosas a través de su navegador”, explicó.
Java 7u25 incluye una versión parcheada de la herramienta Javadoc, que ya no generará páginas web vulnerables. Además, Oracle ha presentado una herramienta aparte, llamada Java API Documentation Updater Tool, que puede ser utilizada para arreglar páginas vulneradas con anterioridad.
La nueva actualización incluye algunos cambios de seguridad, incluida una función para controlar la revocación de certificados por defecto.
El número de vulnerabilidades encontradas en Java ha aumentado significativamente este año, en comparación con los dos últimos ejercicios, asegura Amol Sarwate, director of Qualys Vulnerability Labs. En concreto, el número ha ascendido a 137, frente a los 28 y 38 de los dos años anteriores.
“Animamos a los usuarios a parchear, tan pronto como sea posible”, concluyó Sarwate.
Lucian Constantin, IDG News Service