Los problemas de seguridad en este software se han convertido en un problema permanente para la gente de Oracle. Tras su adquisición, Java se ha convertido en un problema para estos y los usuarios, sufriendo muchos problemas de seguridad que por parte de los primeros no han sido capaces de resolver.
En esta ocasión, un grupo de investigadores ha descubierto que el fallo de seguridad catalogado como CVE-2013-5838 y que fue descubierto en junio de 2013 aún está disponible. Han sido los propios expertos en seguridad que alertaron a la compañía los que de nuevo han procedido a representar el escenario en el que descubrieron la vulnerabilidad para comprobar si esta se encontraba resuelta, llevándose una sorpresa desagradable. Teniendo en cuenta que ha pasado tanto tiempo, recordamos que la vulnerabilidad afectaba de forma directa a la sandbox, permitiendo que aplicaciones web que se ejecutasen haciendo uso de esta saltasen sus límites y disfrutaran de privilegios en el sistema para realizar determinadas tareas, como por ejemplo, instalación de software de forma no autorizada.
Aunque muchos ya conocéis en que consiste, las sandbox se tratan de un complemento a la presencia de herramientas de seguridad, permitiendo la ejecución de aplicaciones en un entorno seguro y que las modificaciones realizadas u operaciones no repercutan en el sistema, de ahí la importancia de esta vulnerabilidad.
Para resolver el problema, desde Oracle publicaron Java SE 7 Update 40 en el mes de octubre de ese mismo año, sin embargo, casi después de tres años desde que se detectó los exploits aún son útiles.
Desde la compañía creen que el problema no existe
Uno de los expertos detrás del descubrimiento afirma que desde la empresa creen que el problema está resuelto y que desde que se reportó por primera vez no han vuelto a mantener contacto con esta.
Para llevar a cabo una explotación satisfactoria solo se debe evadir la función Click2Play de Java, que es la encargada de garantizar que los applet no se ejecutan con total libertad en el sistema.
La seguridad de Java saca los colores a Oracle
Mientras Sun Microsystems era la responsable de este software, los expertos en seguridad coinciden en que la seguridad era mucho mejor, o al menos la gente que se encontraba detrás se la tomaban enserio. Con la llegada de Oracle los problemas aparecieron y después de tantos años desde la compañía no dan con la tecla y son muchos los que acusan de casi abandonar el software en lo referido a seguridad.
Fuente | Softpedia