por 
Nos informan de ESET que en las últimas horas ha aparecido una nueva vulnerabilidad crítica descubierta en la versión más reciente de Java RE (1.7).
El primero en alertar sobre el exploit fue el blog de FireEye. La vulnerabilidad está siendo usada activamente y mediante la misma un atacante puede descargar software malicioso en el sistema del usuario, sin ninguna intervención de este último.
Hacer clic en el enlace malicioso es lo único necesario para que el malware comience a infectar nuestro sistema.
El gran problema es que ORACLE no ha previsto lanzar una actualización para arreglar esta vulnerabilidad y si lo decidiera ahora mismo, tardaría unos días en hacerlo posible.
ESET ofrece la siguiente solución para evitar que se instale malware en nuestro sistema si pulsamos por accidente en uno de los enlaces maliciosos que se esté aprovechando de esta vulnerabilidad.
Desactivar Java en Internet Explorer
1.- Acceder al menú Herramientas > Opciones de Internet
2.- Pestaña Programas > Administrar complementos
3.- Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7
4.- Pulsar sobre el botón Deshabilitar y cerrar la ventana
Desactivar Java en Mozilla Firefox
1.- Acceder al menú Herramientas > Complementos
2.- Acceder al apartado de Plugins
3.- Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)
4.- Pulsar sobre el botón Desactivar
Desactivar Java en Google Chrome
1.- Escribir “chrome://plugins/” en la barra de direcciones del navegador para acceder al menú de plugins.
2.- Buscamos el plugin de Java y pulsamos sobre Inhabilitar
Desactivar Java en Safari
1.- Accedemos al menú Preferencias > Apartado “Seguridad”
2.- Desmarcamos la opción “Permitir Java”
Según ESET,
Según informan nuestros compañeros de ESET Latinoamérica, los primeros indicios indican que esta vulnerabilidad ha sido utilizada para propagar un troyano detectado por ESET NOD32 Antivirus como Win32/Poison.NHM. Además, el applet malicioso es detectado mediante una firma genérica como Java/Exploit.Agent.NDE. Al no existir un parche aún, se recomienda ser muy cuidadoso con los sitios y enlaces visitados. La próxima actualización de Java por parte de Oracle está programada para el próximo 16 de octubre, sin embargo, puede haber una excepción. Esperemos que por la seguridad de todos, así sea. Mientras, existe un parche no oficial que puede ser solicitado en Deep end Research.
comentario: parece que java seguirá siendo por un tiempo el principal agujero de seguridad (al menos uno de los principales) en sistemas operativos confiables, como linux y osx.
preguntontas: ¿no que java ya era libre? ¿por qué hay que esperar entonces a que lo arreglen? además, ¿hace falta instalar windows para ser afectado por estos inconvenientes? ¿o también funcionan en sistemas operativos de verdad, afectados todavía por los huecos de java?
gracias. saludos :-)
Java esta bajo Oracle desde que compro SUN y sigue con una licencia Open Source. Oracle sigue con el desarrollo. Igualmente ya fuera de Oracle sacaron un parche como bien lo indico en el articulo.
En cuanto a lo de Windows, el caso que cita ESET del malware Win32/Poison.NHM, eso afecta a ordenadores con Windows, pero es uno de los casos que dio como ejemplo. Ese troyano especificamente no afecta a otros sistemas operativos, pero no tiene nada que ver con la vulnerabilidad de Java. Los atacantes están usando la vulnerabilidad para instalar este troyano en latinoamerica en máquinas windows, pero pueden usar otros tipos de ataques aprovechando el exploit.