#JAVA: Riesgo informático por mantener una versión anterior

~ JOG@

Que responderías donde te pregunten: ¿Cuál es el riesgo informático por tener una versión anterior de JAVA?

Por ejemplo, por temas de compatibilidad de una aplicación Web que solo funciona con la versión de JAVA JRE 1.6.

JAVA
Marca registrada de Oracle

En este artículo, hacemos referencia a JAVA, como el software de utilidades que permite la ejecución de programas desarrollados con JAVA o también llamado JRE por sus siglas en inglés, Java Runtime Environment y no el JDK o al lenguaje de programación.

JAVA es muy usado actualmente y se encuentra instalado en muchos equipos, debido a que como dice en su página oficial “permite jugar en línea, participar en sesiones de chat con internautas de todo el mundo, calcular los intereses de una hipoteca y ver imágenes en tres dimensiones, entre otras muchas aplicaciones.”

Para empezar, según el Roadmap de Oracle, la versión 1.6 de JAVA solo tendrá actualizaciones de seguridad disponibles hasta este mes, lo que pone en riesgo a miles de usuarios y empresas que desconocen los riesgos que esto puede traer.

RoadmapJAVA
Fuente: http://www.oracle.com/technetwork/java/javase/eol-135779.html

La posibilidad de ocurrencia es alta, ya que las vulnerabilidades, amenazas y ataques conocidos están en aumento para JAVA, principalmente por ser multiplataforma, como indican en el boletín del mes pasado, el Equipo de Respuesta a Incidentes en México, UNAM-CERT,   “Java es un blanco atractivo para los atacantes, ya que pueden hackear más computadoras con menor  esfuerzo.”

Veamos la cantidad de vulnerabilidades de JAVA desde el 2010 hasta Febrero de 2013.

VulnsJAVA

PicVulnsJAVA
Fuente: http://www.cvedetails.com/product/19117/Oracle-JRE.html?vendor_id=93

Como se puede ver en la gráfica, solo van dos meses del 2013 y ya casi iguala a la cantidad de vulnerabilidades de todo el 2012.

El impacto también es alto ya que por ejemplo con un solo exploit o malware que se aproveche de una vulnerabilidad de JAVA, podrían afectar a muchas computadores o incluso servidores de diferentes sistemas operativos como Windows, Linux, Mac OS X que lo tengan instalado, y tener repercusión no solo en el dominio de la información, sino también en la operación del negocio en las empresas, por ende en lo financiero y los clientes/mercado.

Finalmente, se concluye que el riesgo informático con JAVA es alto, ya que estarían los usuarios expuestos a vulnerabilidades conocidas (ej. CVE-2013-1475 ) que pueden ser explotadas por diferentes amenazas (ej. Malware, exploits, PoC…) por medio de agentes generadores (personas, organizaciones…) y afectar la integridad, disponibilidad y confidencialidad de la información, activos informáticos, imagen, entre otros.

Adicionalmente, el riesgo aumenta ya que la mayoria de los usuarios finales no sabe ni siquiera si tienen instalado JAVA , mucho menos que versión y finalmente no saben como lo podrían actualizar a la última versión o deshabilitarlo/desinstalarlo si no lo requieren.

Finalmente, cito el párrafo de un artículo de Oracle, en donde recomiendan no tener versiones antiguas en los equipos.

¿Debo eliminar las versiones anteriores de Java? “Recomendamos a los usuarios eliminar todas las versiones antiguas de Java del sistema. Mantener versiones de Java antiguas y no compatibles en el sistema presenta un serio riesgo de seguridad.”

Fuente: http://www.java.com/es/download/faq/remove_olderversions.xml

Recomendaciones:

  • Verifique si tiene instalado JAVA y que versión, desde el siguiente link:
VerificarJAVA
http://www.java.com/es/download/installed.jsp
  • Si tiene instalado una versión anterior  a la  7 Update 13 y está seguro de que necesita JAVA para la ejecución de alguna aplicación, entonces descargue esta última y clic derecho instalar, de lo contrario se recomienda desinstalar el software.
  • Deshabilite el plugin de JAVA desde el navegador.
  • Finalmente, la recomendación de Oracle:

Si accede a una aplicación o página web que requiere una versión de Java anterior, debería informar al proveedor/desarrollador y solicitar que actualice dicha aplicación para que sea compatible con todas las versiones de Java.

A partir de febrero de 2013, Oracle no publicará actualizaciones de Java SE 6 en sus sitios de descarga pública. Las descargas de Java SE 6 que se hayan publicado antes de esa fecha seguirán estando disponibles en la página de archivos de Java en Oracle Technology Network. Se recomienda tanto a los desarrolladores como a los usuarios finales que actualicen a versiones más recientes de Java SE que están disponibles para descargar de forma pública.

Reflexión:

“Java es un software que puede exponerte a muchos riesgos, si no necesitas Java considera no instalarlo. Si realmente lo necesitas, asegúrate de tener siempre la última versión.”

Espero esta información sea útil, para sensibilizar un poco sobre el riesgo informático que tenemos con JAVA.

Publicado por JOG@