Java INSEGURO [ Nueva Actualizacion ]

Bueno si no lo sabian, puesto que esto viene desde Java7 u10, la recomendacion es desabilitar Java completamente para el uso del navegador. Tanto Java7 u10 y la nueva version que se actualizo ayer la u11 estan siendo severamente explotadas en la web.

No es necesario desinstalar Java para los que lo necesitan en un programa ya instalado. Pueden deshabilitar su uso abriendo el panel de Java y ir a segurida. Ahi desmarcan la casilla que es para el uso del navegador. Tambien tanto IE como FF pueden deshabilitarlo por medio de los complementos.

Uno de los usos mas visto para la infeccion se esta dando en Facebook para instalar el secuestro (Ransonware) de la Policia. Te bloquea completamente el ordenador y pide rescate. Es un proceso limpiar este ransonware y se necesita un disco de inicio del SO.

Muchas Gracias, iroc9555. Yo ya había deshabilitado en FF, Chrome e IE, y también recién por medio del Panel de Java. Deshabilite el contenido de Java a través del Navegador :). No lo volveré a habilitar hasta que Oracle lanze una versión la cual no tengo vulnerabilidades de Seguridad.
Un Saludo,
Guz.
PD= También os recomiendo tenes avast! actualizado hasta la fecha [Versión del Programa y Base de Datos de Virus].

[mensaje editado por error en el mismo]

Lamentablemente no es asi. Java7 u11 solo ha arreglado 2 de 11 fallas ( solo para SE Runtime ) que estan siendo explotadas. Tambien la nueva version u11 configura su Seguridad en Alta por defecto, haciendo que si entras en una sitio web donde Java se ejecuta, salga una alerta pidiendo si quieres ejecutarlo. Ahi esta el problema. La majoria diran que si y en la ejecucion puede venir el Trjano o el script del que Java es vulnerable.

El consejo es desactivar java para los navegadores al menos que lo necesiten para algun banco, cruzando los dedos que los bancos tengan un buen sistema de deteccion de ataque, de esta manera, Java desactivado para los navegadores, todavia se puede usar en algun programa instalado en el ordenador que lo necesite.

Ej. Yo uso PAL, un programa para mi UPS, pues tengo Java deactivado para los navegadores pero todavia puedo cambiar configuraciones y administrar mi UPS.

Yo no me arriesgaria a usar Java en un sitio de la web todavia. Ya hay miles si no millones de caso reportados por la explotacion Java. Aqui mismo en el foro el numero de usuarios pidiendo ayuda en la seccion de Viruses and Worms a duplicado o a lo mejor mas. tabien se puede notar ese incremento en foros como DeLL, SpywareHammer, o BleepingComputers. El mismo Homeland Security de los Estados Unidos recomendo a sus ciudadanos de desinstalar Java mientras se le consigue arreglo.

http://www.zdnet.com/homeland-security-warns-to-disable-java-amid-zero-day-flaw-7000009713/

http://www.us-cert.gov/current/#us_cert_releases_oracle_java

Hola, visto lo que ha comentado el amigo iroc9555 procedo a modificar mi anterior mensaje en este hilo para evitar equivocaciones.

Un saludo, siento el despiste.

No problem. Demasiada informacion en todos lados. Si te guias por lo que oracle dice, todo esta arreglado, pero hay que leer los reportes de seguridad de otros sitios que se especializan en esto:

http://www.zdnet.com/security-experts-on-java-fixing-zero-day-exploit-could-take-two-years-7000009756/
http://nakedsecurity.sophos.com/2013/01/15/disable-java-browsers-homeland-security/
http://eromang.zataz.com/2013/01/13/gong-da-gondad-exploit-pack-add-java-cve-2013-0422-support/

Parece que existe dos maneras nuevas de pasar el sandbox de Java en la version 7 u11 escribió el investigador de seguridad Java Adán Gowdiak.

http://translate.google.es/translate?hl=es&sl=en&tl=es&u=http%3A%2F%2Fthreatpost.com%2Fen_us%2Fblogs%2Flatest-java-update-broken-two-new-sandbox-bypass-flaws-found-011813

Java publico una nueva version 7_u13. Arreglando asi 50 vulnerabilidades que tenian las version pasada.

http://java.com/es/download/manual.jsp

De ninguna manera esto hace que Java sea segura. Les recuerdo que java tiene una pasado historico de ser muy vulnerable a los ataques y si no se necesita, por ejemplo tienes un programa o alguna pagina web importante como los bancos, la recomendacion por expertos de seguridad es no instaarlo.

Si lo usan pueden aminorar el peigro desactivando Java para el navegador y solo activarlocuando utilicen el sitio web que lo necesite.

Como desabilitar Java para el navegador:

http://www.java.com/es/download/help/disable_browser.xml