A pesar de una actualización de software de emergencia emitida ayer por parte de Oracle, el Departamento de Seguridad Nacional de EUA sigue recomendando a los usuarios desactivar Java en sus navegadores web, por temor a una vulnerabilidad que aún permanece.

Oracle lanzó una actualización de software el domingo pasado para hacer frente a una vulnerabilidad crítica en Java 7, después de la recomendación emitida por el equipo de Respuesta a Incidentes del Departamento de Seguridad Nacional de los Estados Unidos US-CERT para que los usuarios deshabiliten el plugin multiplataforma en los sistemas en donde se instaló. La falla permite a un intruso remoto no autenticado ejecutar código arbitrario, cada vez que un equipo vulnerable visita un sitio web que aloja el código malicioso específicamente diseñado para aprovechar esta vulnerabilidad.

Oracle aconsejó  “fuertemente” mantener actualizado el software de Java para reparar la vulnerabilidad. Sin embargo, el DSN-EUA sigue preocupado de que otros defectos desconocidos puedan existir en Java.

"A menos que sea absolutamente necesario ejecutar Java en los navegadores web, se recomienda desactivar el plugin, incluso después de actualizar a la versión 7u11", dijo el US-CERT en una nota actualizada de hoy, que además incluye instrucciones para desactivar el plugin. "Esto ayudará a mitigar otras vulnerabilidades de Java que pueden ser descubiertas en el futuro."

Security Company Immunity reveló que la actualización de Oracle solo atiende a una vulnerabilidad pero hay otra que aún permanece.

"Este parche no detendrá el exploit, solo se ocupará de uno de sus componentes,"dijo hoy Immunity en una publición de blog. "Pero un atacante con el conocimiento suficiente en el código a base de Java y la ayuda de otro error de día cero puede inhabilitar la actualización y continuar comprometiendo usuarios."