BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Novedades de Oracle y consejos para sus usuarios
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Oracle cierra un vector de ataque eliminando el plug-in de Java

Oracle anunció planes para volver obsoleto el plug-in para navegadores de Java, un notable vector de ataques, aunque la elección no fue enteramente propia.

Oracle anunció que, al lanzar la próxima versión de su kit de desarrollo de Java, eliminará el uso del plug-in para navegador de Java y ha pedido a los desarrolladores comenzar la transición de applets de Java a su nueva tecnología Java Web Start.

Oracle dejó claro que este movimiento no era exactamente por elección, señalando que "muchos proveedores de navegadores han removido o anunciado líneas de tiempo para eliminar los soportes al plugin basados en estándares, eliminando la posibilidad de incrustar Flash, Silverlight, Java y otras tecnologías basadas en plugin". Oracle no hizo referencia al software de endurecimiento de la seguridad, como el Enhanced Mitigation Experience Toolkit (EMET) de Microsoft que ha ofrecido durante mucho tiempo opciones para bloquear los complementos del navegador como Java porque se utilizan como vectores de ataque.

Oracle dijo que el plug-in sería desfasado con la versión de nueve de su Java Development Kit (JDK), y aconsejó a los desarrolladores migrar los applets hacia Java Web Start, que permite a los applets de Java ser iniciados en el navegador sin necesidad de un plug-in. Sin embargo, Oracle señaló que si la migración a Java Web Start no funciona, los desarrolladores también pueden crear instaladores nativos para las aplicaciones o utilizar una función llamada WebView, que permite a las aplicaciones utilizar una versión integrada de WebKit para representar el contenido HTML5.

Morey Haber, vicepresidente de tecnología en BeyondTrust, advirtió que podría haber enormes retos para los desarrolladores con esta migración.

"Soy consciente de las muchas aplicaciones financieras y de salud que son Java pura y que tendrán que adaptarse a las alternativas", dijo Haber. "Si bien hay un camino de transición, las aplicaciones heredadas para profesionales como radiólogos o planificadores financieros requerirán navegadores antiguos, seguirán siendo vulnerables, y representan un riesgo exponencial para el usuario y los datos hasta que migren a una nueva versión o proveedor".

Lo que es peor, Haber dijo que Web Start podría no ser mejor en términos de seguridad.

"Las vulnerabilidades de Java Web Start se pueden aprovechar igual que los applets", dijo Haber, "por lo que incluso después de que se termine la vida del soporte a los plug-in, los usuarios estarán obligados a actualizar Java para mitigar las vulnerabilidades".

Oracle no ha anunciado una fecha de finalización de la vida útil para el plug-in para navegador de Java, y los expertos estiman que la mayoría de las empresas no harán la transición a Web Start por uno o dos años, en tanto algunos podrían llegar a tardar hasta 10 años para cambiar.

Tod Beardsley, director de investigación de seguridad de Rapid7, instó a las empresas a iniciar esfuerzos para pasar a Java Web Start más pronto que tarde, porque los agentes de amenaza pueden renovar los ataques contra el vector de ataque del plug-in para navegador de Java.

"Al igual que cuando Microsoft dejó de soportar Windows XP, no podemos esperar que el fin del soporte para los plug-ins de Java erradicará al instante las aplicaciones que dependen de ellos. Mientras que los plug-ins de Java han caído en desgracia en la internet general pública, todavía hay un montón de redes internas que necesitan los plug-ins de Java para ejecutar sus aplicaciones internas", dijo Beardsley. "Las organizaciones que trabajan en esta transición deberían ser extra vigilantes, ya que cualquiera actualmente sentado sobre una vulnerabilidad no revelada de esta tecnología estará motivado a usarla ahora, antes de que la mayoría de las empresas la hayan cambiado".

Próximos pasos

No olvide revisar también:

Descubre Trend Micro más vulnerabilidades del Hacking Team

Cuatro herramientas de pen testing para mejorar la seguridad empresarial

A propósito de Magnitude: Lo que necesita saber sobre los exploit kits

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close