Uno de esos temas recurrentes en el mundo de la seguridad informática es curiosamente la inseguridad de uno de los lenguajes de programación más utilizados: Java. Con todas las noticias que se han ido sucediendo desde principios de año sobre los interminables problemas de seguridad que plantea para nuestras computadoras, si no lo habéis desinstalado de vuestro equipo o bloqueado en vuestros navegadores web, estáis tardando en hacerlo.
Desde Trend Micro están también apuntando a que los problemas de seguridad en el entorno de Java se están agravando, con el desarrollo de ataques más modernos que empiezan a ponerse como objetivo un nuevo apartado de la arquitectura de Java: la interfaz nativa. Denominada Java Native Interface, se trata de una capa de la arquitectura que permite ejecutar código nativo (C, C++, etc.) desde un programa de Java.
Los fallos de seguridad provienen en parte de "trastear" con los punteros de memoria de C (la forma de indicarle a una aplicación dónde está en memoria valores o trozos de programa que pueda necesitar), que en Java están totalmente ausentes. Puesto que para poder explotar esos fallos se necesita traspasar la seguridad del propio sistema operativo, se necesitan conocimientos más específicos para conseguirlo. Esos ataques llevan a lo habitual: troyanos para tomar el control de ordenadores, robo de información, etc.
Pero son comunes en las versiones antiguas de Java, como la 6, que está instalada en 1.500 millones de dipositivos. ¿La solución? Actualizarse a Java 7. Pero como todo aquel que haya trabajado en un entorno informático, las aplicaciones no siempre se pueden tener actualizadas. En bancos, por ejemplo, un desarrollo de aplicación puede quedarse estancada funcionando con una versión específica de Java durante una década porque adaptarla a versiones más modernas llevaría tiempo y dinero.
El resultado de esto es que Java va a seguir siendo un gran problema de seguridad en sí mismo, y cada mes Oracle libera parches para unas cuantas decenas de fallos de seguridad. Ah, sí: Java 6 está oficialmente no soportada por Oracle desde febrero, así que los fallos de seguridad que se vayan descubriendo se quedarán sin parchear para siempre.
Mi recomendación: si sois usuarios normales, eliminad cualquier rastro de Java de vuestras computadoras, y desactivad el plugin de Java de los navegadores Web. Una búsqueda rápida en Google seguro que os dice cómo hacerlo, y ganaréis en tranquilidad. Pero eso sí, tampoco os obsesionéis con este tema, que no es bueno para las úlceras.
Vía: Ars Technica.