jueves, 29 de agosto de 2013

[Ontinet] '¿Aun con Java 6 instalado?. ¡Actualiza si no quieres tener problemas de seguridad!' [Vulnerabilidad aprovechada sin posibilidad de parche y riesgo para las organizaciones]

'El problema viene cuando una versión como la 6 de Java, instalada aún en millones de ordenadores, deja de ser soportada por el fabricante, que deja de lanzar actualizaciones de seguridad para ella. Si a esto le sumamos la aparición de un exploit que se aprovecha de una vulnerabilidad de esta versión que no tiene perspectivas de ser solucionada, tenemos un caldo de cultivo excelente para que los ciberdelincuentes hagan su agosto y propaguen nuevas amenazas utilizando Kits de exploits como Neutrino.

El exploit que afecta a esta versión obsoleta de Java fue presentado como prueba de concepto la semana pasada y ya empezaron a verse ataques aprovechándolo a principios de esta. Al tratarse de una versión que ya no está soportada por Oracle, la empresa no tiene previsto lanzar ningún parche de seguridad para resolver esta situación, dejando a la mayoría de los millones de usuarios que aún la tienen instalada totalmente desprotegidos.

Si hay alguien interesado en conocer la vulnerabilidad y cómo esta puede ser aprovechada de forma maliciosa, los chicos de Hispasec han preparado un interesante análisis en su blog, el cual recomendamos leer encarecidamente.

Para la mayoría de usuarios, este problema se soluciona de forma sencilla actualizando a la versión más reciente de Java y, si es posible, desactivando el complemento de Java del navegador si su uso no es estrictamente necesario. El problema real se encuentra en aquellos usuarios, principalmente empresas, que siguen utilizando la versión 6 de Java para poder seguir trabajando sin problemas, bien porque aún no han podido migrar a la versión 7 o por otros motivos. En estos casos la situación se agrava ya que, únicamente pulsando sobre un enlace malicioso se podría comprometer la seguridad del sistema.

Como siempre que hablamos de versiones obsoletas de software siendo usadas como vector de ataque, es necesario, especialmente en empresas, planificar la migración a versiones más actuales y seguras con la suficiente antelación, para evitar casos como el que acabamos de comentar. Más delicado y costoso es la migración completa de un sistema operativo, algo que muchos usuarios y empresas deberían empezar a tener en cuenta sobre todo sabiendo que Windows XP termina su ciclo de vida el año que viene.'

Fuente y noticia completa: Laboratorio Ontinet 29/0'8/2013

No hay comentarios: