Java se encuentra bajo ataques una vez más. Una vulnerabilidad de día cero en Java se encuentra explotada actualmente a todo lo que da. Es posible que los ataques ya hayan sido detectados, pero los expertos en seguridad alertan sobre el esparcimiento inminente de éstos.

Después de Adobe Reader y Adobe Flash, Java es probablemente una de las aplicaciones más utilizadas. Desafortunadamente, también provee a los atacantes una gran variedad de fallos y vulnerabilidades que explotar, lo que la convierte en un objetivo popular.

El código para la prueba de concepto (PoC en inglés) ha sido desarrollado para el conjunto de herramientas Metasploit. Wolfgang Kandek, director tecnológico ejecutivo de Qualys, explica que esto es preocupante ya que pone el exploit al alcance de una gran audiencia, lo que probablemente signifique más ataques futuros a esta vulnerabilidad de Java.

Andrew Storms, director de operaciones de seguridad de nCircle, dice estar preocupado ya que podría pasar un tiempo antes de que un parche o una actualización sean liberados para resolver la vulnerabilidad y así evitar los ataques. "No se sabe si Oracle libere parches fuera de su ciclo habitual de actualizaciones y está provisto que la próxima actualización para Java sea en Octubre. Una parte del problema es que Java es tan ubicuo que suele ser pasado por alto como una 'pequeña' pieza de software."

Kandek advierte que hasta que se libere un parche, la verdadera defensa que los usuarios pueden emplear es limitar el uso de Java o desinstalarlo por completo de sus equipos. Sin embargo, este último es un poco extremo. Existen algunas opciones dentro de los controles de seguridad de Java para restringir el uso de sitios web bien conocidos, los cuales son poco problable que contengan exploits maliciosos.

Actualmente, parece que solo la nueva versión de Java (Java 7) es vulnerable a este día cero. Java 1.6 podría estár seguro, sin embargo, esto no es del todo cierto.

Los actuales ataques están enfocados hacia Java 7 de Windows, pero la prueba de concepto de Metasploit también funciona en Mac OS X, por lo que los usuarios de Apple también deberían estar en guardia.

Afortunadamente, después del último problema con el exploit de Java, Apple implementó un sistema proactivo que desactiva Java en caso de no haberse usado por completo en los últimos 35 días. Entonces, los usuarios de Mac OS X que rara vez utilizan Java deben tener el software deshabilitado y por lo tanto no tienen nada de qué preocuparse.

Si no estás seguro de saber si Java está deshabilitado en Mac OS X, existe un método para descubrirlo. Kanden comenta, "los usuarios de Mac pueden verificar el estado de Java utilizando el programa de preferencias de Java, el cual permite al usuario deshabilitar la conexión entre Java y el navegador de Internet con solo desmarcar la opción de encendido."

Storms remarca la falta de transparencia de Oracle cuando trata amenazas similares. "Oracle debería darle un vistazo al libro de respuesta a incidentes de seguridad de Microsoft y así empezar a comunicar a los usuarios los problemas de seguridad."

Para finalizar Storms añade lo siguiente, "Hasta ahora, el único recurso para los usuarios es deshabilitar Java en todos los navegadores web para protegerse de los ataques."