Techie Blog El blog de noticias, tecnologías y tendencias de E.D.S.I. Trend Argentina

15ene/13Off

Otra vez… Java

Una vez más, ya como nos tiene acostumbrados a la mayoría de los administradores, Java informa una nueva y vergonzosa vulnerabilidad de día cero.

Hace ya algún tiempo se volvió un consejo común entre especialistas de seguridad recomendar a los usuarios que desinstalen java aunque, muchas veces es necesario para ciertas aplicaciones laborales o páginas de home banking.

Entonces, ¿Cómo podemos usar Java y estar seguros al mismo tiempo?

Por empezar, la gran mayoría de las amenazas en Java provienen de applets de sitios maliciosos. Hoy en día teniendo Java instalado podemos deshabilitar su uso en nuestros navegadores por lo cual las aplicaciones que tengamos instaladas en nuestros equipos, que funcionen en base a Java, seguirán corriendo sin problemas.
Es más, las últimas versiones de Java ya nos permiten deshabilitar los complementos desde su propio panel de control para todos los navegadores de nuestro equipo, sin necesidad de deshabilitarlos en cada uno de nuestros browsers preferidos.
Más información acerca de cómo realizar esto en el siguiente link: http://java.com/en/download/help/enable_panel.xml.

Desde aquí surge otra cuestión más, ¿Qué pasa si necesitamos Java en nuestro navegador para algún home banking, página de intranet, etc.?

En este caso no vamos a tener otra opción más que habilitar el complemento de Java por navegador. La mejor opción sería elegir un segundo navegador de nuestra preferencia y utilizarlo para las páginas web que requieran Java ya conocidas, como páginas de home banking o sitios de intranet.
Tanto Internet Explorer como Firefox nos dejan deshabilitar plug-ins fácilmente desde sus opciones, en el caso de Chrome por alguna razón está más escondido así que la mejor opción es escribir en la barra de direcciones “chrome://plugins” y una vez que veamos el complemento de Java deshabilitarlo.
Otra opción que se presenta para los usuarios de Chrome es que este navegador le permite a los usuarios, mediante un popup, elegir cuando y cuantas veces correr un applet, es decir, si lo van a correr una sola vez o si lo volverá a correr sin preguntar la próxima vez que accedan al sitio. La recomendación es que los usuarios siempre elijan la opción “run once” (correr solo una vez) cada vez que ingresen al sitio, aunque ya conozcan que es seguro.

Para darle un poco de crédito a Oracle, vamos a reconocer que está tratando de mejorar la seguridad en Java, ya en su última actualización (Java 7 Update 11) predefinió la seguridad al nivel “High” de modo que las applets sin firma o “self-signed” no correrán sin expresa autorización del usuario (1 click…). Todos sabemos que años de ingeniería social demuestran que se puede hacer que un usuario haga click en casi cualquier lugar o de autorización a cuanto software sea presentado por lo que no vemos esto como una gran solución de parte de Oracle, sino tal vez, una manera de desligarse de la responsabilidad ante la pérdida de información o la infección de los usuarios finales de su producto.

Además, pensemos en los entornos empresariales o applets customizadas en entornos de desarrollo, estas no van a estar a la altura de dicho criterio por lo cual los administradores se verán forzados a bajar nuevamente el nivel de seguridad de este complemento.

En conclusión, sigue siendo la mejor práctica y recomendación dejar de usar Java, es decir, desinstalarlo de nuestros equipos. En caso de que todavía sea necesaria su utilización con estos tips que les brindamos los ayudaran a reducir el riesgo al mínimo posible.

Para nuestros clientes de EDSI Trend Argentina que cuenten con la solución de Deep Security (a través del módulo de DPI) les comentamos que esta vulnerabilidad se encuentra protegida desde el 11/01/13 con las siguientes reglas:

Regla de DPI # Nombre ID de Vulnerabilidad
1004711 Identified Malicious Java JAR Files CVE-2013-0422
1005331 Ruby On Rails XML Processor YAML Deserialization DoS CVE-2013-0156
1005328 Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability CVE-2013-0156

 

Debido a la popularidad de estos exploits, comenzaron también a aparecer distintas piezas de malware que utilizan el mismo para su propagación. En nuestros productos Worry Free y OfficeScan actualizados al último patrón se encuentran las siguientes detecciones:

Detección Descripción
JAVA_EXPLOIT.RG Exploit Code
HTML_EXPLOIT.RG Sites that load the exploit code
TROJ_REVETON.RG Known Payload in Attempts to Attack Vulnerability
TROJ_REVETON.RJ Known Payload in Attempts to Attack Vulnerability

 

Además, Deep Descovery también detecta esta vulnerabilidad con la siguiente regla:

ID 616 TCP_REVETON_REQUEST

 


¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Publicado por Matias Espindola

Comentarios (0) Trackbacks (0)

Lo sentimos, los comentarios están cerrados por ahora.

Trackbacks deshabilitados.

Arriba ↑