Descubierto un nuevo y grave fallo de seguridad en JAVA

Se ha descubierto una nueva vulnerabilidad 0-Day en Java que afecta a todos los sistemas operativos. Las versiones Java afectadas son todas, incluida la última Java 7 Update 10. Todos aquellos que tengan instalado Java en sus ordenadores se exponen a un ataque que permitiría ejecutar cualquier clase de código a distancia, lo que podría llegar a producir cualquier consecuencia: robo de información privada, daños en el sistema de archivos y un largo etcétera.
A esta hora, la desactivación del plugin es la única forma de proteger un ordenador.

Según comentan, algunos portales de Internet ya han sido afectados por esta nueva vulnerabilidad.

Noticia Fuente y mucha más información detallada en:
http://thenextweb.com/insider/2013/01/10/new-java-vulnerability-is-being-exploited-in-the-wild-disabling-java-is-currently-your-only-option/

Otras fuentes en español:
http://www.fayerwayer.com/2013/01/se-recomienda-desinstalar-java-ahora-mismo-tras-el-descubrimiento-de-grave-vulnerabilidad/
http://news.gconex.net/descubierto-un-grave-fallo-de-seguridad-en-java/

¿Nueva versión del virus de la policia en 3,2,1...? :p
¿también afecta a icedtea/openjdk?
sL1pKn07 escribió:¿también afecta a icedtea/openjdk?

Ni idea compañero, supongo que cuando Sun Microsystems (Oracle Corporation) se pronuncie sabremos a todo lo que afecta. Pero vamos en teoría todo lo que utilice una máquina virtual Java debería de ser vulnerable, aunque mejor esperar a ver que dicen.
Joder macho, JAVA que es, el resultado de una noche de una noche de borrachera de 4 programadores de los mas cutres que te peudas encontrar no?

Ya empieza a tocar la moral con el temita de la seguridad. VERGONZOSO.
Elkri escribió:Joder macho, JAVA que es, el resultado de una noche de una noche de borrachera de 4 programadores de los mas cutres que te peudas encontrar no?.

Básicamente [poraki]

Desde que Oracle le echó el guante no para de salir vulnerabilidades, no sabemos si lo hace a mala leche o es que el equipo que tiene asignado son una panda de PKTs.
otro.... ni supe si resolvieron el anterior...
Aparte de que java debe de ser uno de los códigos más atacados de software del planeta, ya que se usa en casi todo, y si aparte le sumas que los que trabajan con ello no saben ni lo que tienen entre manos...

Yo desde la última vez que lo petarón no e vuelto a activar java en mis navegadores...a no ser que fuera por algo de fuerza mayor que necesitara
¿Otra vez? ¡Estoy harto! Hace unos meses (este verano me parece) avisé este foro de una vulnerabilidad gorda de Java, ahora entro al buffer y me encuentro con que otra vez ha pasado ¡Esto es el colmo!

Chicos, vamos a ver si nos ponemos las pilas entre todos y encontramos la manera de ver de qué manera el fallo nos perjudica lo menos posible. ¿Esta vez qué sugerís para subsanarlo o que se dice al respecto?

Es que no tengo tiempo para investigar como este verano. Gracias.

Un saludo

BY DERHYUS.[chulito]
De momento Oracle creo que no se ha pronunciado, así que toca esperar.

Lo que sí es preocupante es todos los fallos de seguridad que se encuentran en este lenguaje. Lo han tocado tantas manos que a saber la de fallos que han ido colado, y Oracle no es precisamente rápida dando soluciones.

Hace unos meses que me puse a tocar Java y me pareció un lenguaje potente, pero ya me está dando la neura de pasarme a C++ y C# y dejar Java, aunque creo que tocaré los tres lenguajes y me decantaré por el que más me guste.
coyote escribió:
Elkri escribió:Joder macho, JAVA que es, el resultado de una noche de una noche de borrachera de 4 programadores de los mas cutres que te peudas encontrar no?.

Básicamente [poraki]

Desde que Oracle le echó el guante no para de salir vulnerabilidades, no sabemos si lo hace a mala leche o es que el equipo que tiene asignado son una panda de PKTs.


Creo que es simple casualidad, en este caso Oracle no tiene nada que ver con el tema, sobre todo porque afecta a todas las versiones, así que los errores ya estaban mucho antes de que la empresa SUN fuera comprada con Oracle y cómo es normal, seguro que eran conocidos y explotados por personas que conocían dichas brechas pero a los que no les interesaban que se hicieran públicas.
Recuerdo que cuando era de Sun si, había sustos, pero con Oracle se ha multiplicado exponencialmente. Lo que dije, o lo hacen a mala leche, si bien para cargárselo, ya sabemos como se las gasta Oracle, o bien porque los desarrolladores que lo mantienen son unos mantas.
Fantástico, están que lo parten. Tengo la v7 update 9 casi que ni actualizo. [+furioso]
Mhagasal escribió:Fantástico, están que lo parten. Tengo la v7 update 9 casi que ni actualizo. [+furioso]
Flanders escribió:Las versiones Java afectadas son todas, incluida la última Java 7 Update 10.

A ver si leemos mas atentos! (Sin ofender [oki] )
Mhagasal escribió:Fantástico, están que lo parten. Tengo la v7 update 9 casi que ni actualizo. [+furioso]


Pero el fallo es de todas las versiones, incluida la última.
Perdon! [angelito] Corregido! GRACIAS! [oki]
VYZ70R escribió:Perdon! [angelito] Corregido! GRACIAS! [oki]


Para nada, por favor :). Yo también he editado para quitar la cita ;).
si no tengo instalado java no pasa nada no?

aunque en el navegador tenga el java script activado?
Si no hay un fallo grave cada mes... XD Pues habrá que desinstalarlo hasta que se arrregle. Gracias por el aviso.
Kei00 escribió:Si no hay un fallo grave cada mes... XD Pues habrá que desinstalarlo hasta que se arrregle. Gracias por el aviso.


No hace falta desinstalarlo, basta desactivar el plugin web.
blackmasquerade escribió:
Kei00 escribió:Si no hay un fallo grave cada mes... XD Pues habrá que desinstalarlo hasta que se arrregle. Gracias por el aviso.


No hace falta desinstalarlo, basta desactivar el plugin web.


Pues parece tontería pero en muchos casos puede suponer un problema desactivar java... muchos mdm empresariales se administran desde un entorno web que requiere java... mismamente, he podido comprobar lo diícil que resulta mover un correo en Gmail a una carpeta sin java..

Un saludo.
jas1 escribió:si no tengo instalado java no pasa nada no?

aunque en el navegador tenga el java script activado?


No pasa nada, Javascript es un motor diferente.
belmonte escribió:
jas1 escribió:si no tengo instalado java no pasa nada no?

aunque en el navegador tenga el java script activado?


No pasa nada, Javascript es un motor diferente.
Gracias.

Pues entonces creo que no voy a instalar java, no veo ningun motivo a dia de hoy para tenerlo yo instalado y solo da problemas cada dos por tres.
Comunicado de Oracle:
Oracle tiene conocimiento de una vulnerabilidad en el software Java integrado en los navegadores web. La vulnerabilidad se limita a JDK7. Este fallo no existe en otras versiones de Java, y no afecta a las aplicaciones Java directamente instaladas y ejecutadas en servidores, equipos de escritorio, portátiles y otros dispositivos. Una solución estará disponible en breve.
gnet escribió:
blackmasquerade escribió:
Kei00 escribió:Si no hay un fallo grave cada mes... XD Pues habrá que desinstalarlo hasta que se arrregle. Gracias por el aviso.


No hace falta desinstalarlo, basta desactivar el plugin web.


Pues parece tontería pero en muchos casos puede suponer un problema desactivar java... muchos mdm empresariales se administran desde un entorno web que requiere java... mismamente, he podido comprobar lo diícil que resulta mover un correo en Gmail a una carpeta sin java..

Un saludo.


Gmail no usa Java, sino Javascript. Netscape nunca podrá order arder en el infierno todo lo que merece... no tenían suficiente con crear esa aberración de lenguaje, para rematarlo tuvieron que crear confusión con el nombrecito.
blackmasquerade escribió:Netscape nunca podrá order arder en el infierno todo lo que merece... no tenían suficiente con crear esa aberración de lenguaje, para rematarlo tuvieron que crear confusión con el nombrecito.


Por favor, hablemos con un poquito de propiedad. Netscape no tiene absolutamente nada que ver con el lenguaje Java, creado por Sun Microsistems.

Me abstendre de hacer comentarios para no crear flame, pero mira que meterse con mi querido "0xCAFEBABE", que mala gente sois. [sati]
Abismo escribió:
blackmasquerade escribió:Netscape nunca podrá order arder en el infierno todo lo que merece... no tenían suficiente con crear esa aberración de lenguaje, para rematarlo tuvieron que crear confusión con el nombrecito.


Por favor, hablemos con un poquito de propiedad. Netscape no tiene absolutamente nada que ver con el lenguaje Java, creado por Sun Microsistems.

Me abstendre de hacer comentarios para no crear flame, pero mira que meterse con mi querido "0xCAFEBABE", que mala gente sois. [sati]


Si no me refiero a Java, quizás me refiero a Javascript. No era tan difícil.
blackmasquerade escribió:Si no me refiero a Java, quizás me refiero a Javascript. No era tan difícil.

Te dare parte de razón ahi por partida doble.
La parte en la de Gmail no funciona sin Javascript y la parte de su desarrollador oficial.

Me reservare la parte de WTF tiene que ver este tema con la noticia a la que hace referencia este nodo. ¬_¬
http://thenextweb.com/insider/2013/01/1 ... ansomware/

Lo sabían desde Agosto del 2012, como para fiarse de esta gente.
Abismo escribió:
blackmasquerade escribió:Si no me refiero a Java, quizás me refiero a Javascript. No era tan difícil.

Te dare parte de razón ahi por partida doble.
La parte en la de Gmail no funciona sin Javascript y la parte de su desarrollador oficial.

Me reservare la parte de WTF tiene que ver este tema con la noticia a la que hace referencia este nodo. ¬_¬


Tiene que ver con que la gente sigue confundiendo Java con Javascript 20 años más tarde, y no saben a lo que se refieren cuando les dices que lo desactiven en el navegador.
En la página de Java, Oracle sigue sin dar ninguna información y en descarga sigue estando a esta hora la version 7 Update 10:

http://www.java.com/es/download

Que velocidad de reacción }:/
airmalaga escribió:En la página de Java, Oracle sigue sin dar ninguna información y en descarga sigue estando a esta hora la version 7 Update 10:

http://www.java.com/es/download

Que velocidad de reacción }:/

En 6 o 7 mensajes más atrás, ya he indicado que están trabajando en ello. Aunque la verdad es que sí que son lentos, pero bueno mejor tarde que nunca.
Me acabo de instalar la version 7 Update 11, está disponible en la web de Java

http://www.java.com/es/download

Imagino que corrige la vulnerabilidad.
airmalaga escribió:Me acabo de instalar la version 7 Update 11, está disponible en la web de Java

http://www.java.com/es/download

Imagino que corrige la vulnerabilidad.

Gracias por la información. Y sí, esta actualización corrige la vulnerabilidad:
https://blogs.oracle.com/java/entry/java_vulnerabilities_addressed
Y que vulnerabilidad agrega ahora? [poraki]
VYZ70R escribió:
Mhagasal escribió:Fantástico, están que lo parten. Tengo la v7 update 9 casi que ni actualizo. [+furioso]
Flanders escribió:Las versiones Java afectadas son todas, incluida la última Java 7 Update 10.

A ver si leemos mas atentos! (Sin ofender [oki] )


Carlos A. escribió:Pero el fallo es de todas las versiones, incluida la última.


¿En algún momento dije que no estuvieran afectadas? Por eso digo que para que voy a actualizar a la u10 si esta igual de afectada o peor aun.



Actualizar o no actualiza e aquí la cuestión :-|
a tomar por saco java,fuera de mi pc...
Pues como lo arreglen pronto van a tener graves consecuencias, teniendo en cuenta que se usa mucho en el mundo empresarial.
La lista de bloqueo del navegador de la Fundación Mozilla se completa con Java 7.

Tras la última vulnerabilidad de seguridad (3 fallos de seguridad graves en los últimos meses) de la versión actual de Java (Java 7 Update 10) el equipo de Firefox ha decidido reforzar algunas medidas de seguridad.

En este sentido se tiene constancia que la vulnerabilidad recientemente subsanada por Oracle, que ha sido activamente explotada y afecta a cualquier navegador, permitía que un atacante pudiera aprovecharla para ejecutar todo tipo de mlaware en la máquina de la víctima siempre que el usuario tuviera instalado el lenguaje de programación de Oracle.

Debido a que los usuarios de Firefox pueden ser vulnerables a este problema si tienen el plugin Java instalado en su navegador, se ha habilitado la opción «Clic to play» para todas las versiones recientes del plugin (Java 7u9, 7u10, 6u37, 6u38) que asegura que el plugin de Java solo se ejecutará cuando el usuario lo haya aceptado es decir cuando lo necesite en una página web considerada de confianza. (No ponemos en duda la fuerza de Java a nivel de PC, Servidores, moviles,....).

Cualquiera que lo desee puede llevar a cabo una comprobación acerca de qué plugins están instalados en nuestro navegador Firefox desde www.mozilla.org/es-ES/plugincheck.

Por otro lado oracle, ha recomendado, en su propio blog de seguridad que se instale a la mayor brevedad la última actualizacón de Java que soluciona las vulnerabilidades apuntadas. Interesados pueden acceder a más información y descarga de este último parche de Java desde www.oracle.com.

Noticia Fuente:
http://desarrolloweb.com/actualidad/firefox-bloquea-java-7835.html
Aviso que hay una nueva actualizacion de java,no se que tendra esta version pero ahorita se me esta instalando en el sistema

Bueno aqui esta un artículo de la nueva actualizacion de java http://blogs.computerworld.com/cybercrime-and-hacking/21664/understanding-new-security-java-7-update-11

.Cuando se me instalo java en mi windows 7 esta fue la informacion que me dio: java version 7 update 11
alexei_gp escribió:Aviso que hay una nueva actualizacion de java,no se que tendra esta version pero ahorita se me esta instalando en el sistema

Bueno aqui esta un artículo de la nueva actualizacion de java http://blogs.computerworld.com/cybercrime-and-hacking/21664/understanding-new-security-java-7-update-11

.Cuando se me instalo java en mi windows 7 esta fue la informacion que me dio: java version 7 update 11


Pes vas con demora XD sacaron la 13 que corrige 40 y pico vulnerabilidades.

Y si se saltaron el 12. Recomiendo desistalar la que se tiene instalada y asegurarse los que tienen windows que en la carpeta system32 no quedo 1 dll de java(npDeployJava1.dll), aunque creo que esto solo nos pasa a los que tenemos la java development kit :-|
42 respuestas