15Sep
Java fue responsable del 91 por ciento de todos los compromisos de la computadora en 2013. La mayoría de las personas no solo tienen habilitado el complemento de navegador Java, sino que están utilizando una versión vulnerable y desactualizada. Hola, Oracle: es hora de desactivar ese complemento de forma predeterminada.
Oracle sabe que la situación es un desastre. Han renunciado al sandbox de seguridad del complemento de Java, diseñado originalmente para protegerlo de los applets maliciosos de Java. Los applets de Java en la web obtienen acceso completo a su sistema con la configuración predeterminada.
El complemento de navegador Java es un desastre completo
Los defensores de Java tienden a quejarse cuando los sitios como el nuestro escriben que Java es extremadamente inseguro."Eso es solo el complemento del navegador", dicen, reconociendo lo roto que está.Pero ese inseguro complemento de navegador está habilitado por defecto en cada instalación de Java. Las estadísticas hablan por sí solas. Incluso aquí en How-To Geek, el 95 por ciento de nuestros visitantes que no usan dispositivos móviles tienen habilitado el complemento Java. Y somos un sitio web que sigue diciéndoles a nuestros lectores que desinstalen Java o al menos deshabiliten el complemento.
En todo el Internet, los estudios siguen mostrando que la mayoría de las computadoras con Java instalado tienen un plug-in desactualizado del navegador Java disponible para que los sitios web maliciosos saquen. En 2013, un estudio de Websense Security Labs mostró que el 80 por ciento de las computadoras tenían versiones desactualizadas y vulnerables de Java. Incluso los estudios más caritativos dan miedo: tienden a decir que más del 50 por ciento de los complementos de Java están desactualizados.
En 2014, el informe de seguridad anual de Cisco dijo que el 91 por ciento de todos los ataques en 2013 fueron contra Java. Oracle incluso trata de sacar provecho de este problema agrupando la temible Ask Toolbar y otros junkware con actualizaciones de Java: mantente con clase, Oracle.
Oracle aumentó el espacio aislado de Java Plug-in
El complemento Java ejecuta un programa Java, o "applet de Java", incrustado en una página web, similar al funcionamiento de Adobe Flash. Debido a que Java es un lenguaje complejo que se usa para todo, desde aplicaciones de escritorio hasta software de servidor, el complemento fue originalmente diseñado para ejecutar estos programas Java en un entorno seguro. Esto les impediría hacer cosas desagradables en su sistema, incluso si lo intentaron.
Esa es la teoría, de todos modos. En la práctica, hay un flujo aparentemente interminable de vulnerabilidades que permiten que los applets de Java escapen del arenero y pasen por encima de su sistema.
Oracle se da cuenta de que la zona de pruebas ahora está básicamente rota, por lo que la zona de pruebas ahora está básicamente muerta. Han renunciado a eso. Por defecto, Java ya no ejecutará applets "sin firmar".Ejecutar applets sin firmar no debería ser un problema si el entorno limitado de seguridad es confiable, por eso generalmente no es un problema ejecutar cualquier contenido de Adobe Flash que encuentre en la web. Incluso si hay vulnerabilidades en Flash, están corregidas y Adobe no se da por vencido en el entorno de pruebas de Flash.
Por defecto, Java solo cargará applets firmados. Eso suena bien, como una buena mejora de seguridad. Sin embargo, hay una grave consecuencia aquí.Cuando se firma un applet de Java, se considera "de confianza" y no usa el sandbox. Como dice el mensaje de advertencia de Java:
"Esta aplicación se ejecutará con acceso no restringido que puede poner su computadora e información personal en riesgo".
Incluso el propio applet de comprobación de versión Java de Oracle - un pequeño applet simple que ejecuta Java para verificar su versión instalada yle dice si necesita actualizar: requiere este acceso completo al sistema. Eso es completamente loco.
En otras palabras, Java realmente se ha rendido en la caja de arena. De forma predeterminada, no puede ejecutar un applet de Java o ejecutarlo con acceso completo a su sistema. No hay forma de usar el sandbox a menos que modifiques la configuración de seguridad de Java. La zona de pruebas es tan poco confiable que todo el código de Java que encuentres en línea necesita acceso completo a tu sistema. También podría descargar un programa Java y ejecutarlo en lugar de confiar en el complemento del navegador, que no ofrece la seguridad adicional para la que originalmente fue diseñado.
Como explicó un desarrollador de Java: "Oracle está eliminando intencionadamente el entorno de seguridad de Java bajo el pretexto de mejorar la seguridad". Los navegadores web de
lo están deshabilitando por su cuenta
Afortunadamente, los navegadores web están interviniendo para corregir la inacción de Oracle. Incluso si tiene el complemento del navegador Java instalado y habilitado, Chrome y Firefox no cargarán contenido Java de manera predeterminada. Usan "click-to-play" para contenido de Java.
Internet Explorer aún carga automáticamente contenido Java. Internet Explorer ha mejorado algo: finalmente comenzó a bloquear controles ActiveX vulnerables y desactualizados junto con la "Actualización de agosto de Windows 8.1"( también conocida como Windows 8.1 Update 2) en agosto de 2014. Chrome y Firefox han estado haciendo esto por mucho más tiempo..Internet Explorer está detrás de otros navegadores aquí, nuevamente.
Cómo deshabilitar el complemento Java
Todos los que necesiten Java instalado deberían, al menos, deshabilitar el complemento desde el Panel de control java. Con las versiones recientes de Java, puede presionar la tecla de Windows una vez para abrir el menú Inicio o la pantalla de Inicio, escriba "Java" y luego haga clic en el acceso directo "Configurar Java".En la pestaña Seguridad, desmarque la opción "Habilitar contenido Java en el navegador".
Incluso después de que desactives el complemento, Minecraft y cualquier otra aplicación de escritorio que dependa de Java correrán bien. Esto solo bloqueará los applets de Java incrustados en las páginas web.
Sí, los applets de Java todavía existen en la naturaleza. Probablemente los encuentres con mayor frecuencia en sitios internos donde alguna empresa tiene una aplicación antigua escrita como applet de Java. Pero los applets de Java son una tecnología muerta y están desapareciendo de la web del consumidor. Se suponía que competirían con Flash, pero perdieron. Incluso si necesita Java, probablemente no necesite el complemento.
La empresa o el usuario ocasional que necesita el complemento del navegador Java debe tener que entrar en el Panel de control de Java y elegir habilitarlo. El complemento debe considerarse una opción de compatibilidad heredada.
