Apple desactiva el plug in de Java para el navegador en OS X

Apple ha desactivado el plug in de Java 7 para el navegador en OS X de forma remota a través de su sistema Xprotect para proteger a los usuarios de una importante vulnerabilidad de este software que permitiría a un atacante hacerse con el control del ordenador. La vulnerabilidad, que está siendo ampliamente explotada por hackers en internet, supone un severo peligro de seguridad.

Durante los últimos años, la compañías e Cupertino ha tratado de distanciarse de todos los plug ins de terceras partes para su navegador Safari que pudieran causar no solo problemas de seguridad, sino también de rendimiento. Fue el caso de Flash y ahora esta cruzada empieza a abarcar a Java, software que dejó de actualizar por sus equipos de desarrollo y traslado al propietario del software, Oracle.

Oracle no ha indicado cuando habrá una nueva versión de Java para Mac que solucione este problema de seguridad. El bloqueo impuesto Apple, al igual que ha hecho Mozilla al bloquear el plug in de Java en Firefox, no afecta a las aplicaciones que utilizan Java para ejecutarse, solo a los correspondientes navegadores.

Para comprobar si Xprotect se ha actualizado en tu Mac para echar que se ejecute el plug in de Java, puedes abrir el Terminal en Aplicaciones > Utilidades y ejecutar el comando:

defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta LastModification

El método utilizado por Apple para bloquear el plug in del navegador ha sido simplemente situar la versión mínima de Java a ejecutar a la aún no publicada actualización v1.7.0_10-b19.

Xprotect funciona bajo Mac OS X 10.6 Snow Leopard, OS X 10.7 Lion y OS X 10.8 Mountain Lion por lo que los usuarios de estos tres sistemas operativos deberían estar “protegidos” ante la amenaza de Java 7.

0 0 votos
Article Rating
Subscribe
Notify of
21 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
alemancachondo
alemancachondo
11 years ago

Yo no se a los demas, pero el java de mi mac es una m*erda, por más que actualice a la ultima version, programas como minecraft o aplicaciones en el navegador no me van

Mendiaco
Mendiaco
11 years ago

Y quien es apple para desactivarme un plug-in sin mi consentimiento?
Primero deberian de avisar, o es que se creen el gran hermano?

Alberto Lozano
Alberto Lozano
11 years ago

#2
Lo que hace Apple es evitar que Safari ejecute java 7. Cosa que deberían de hacer todos los usuarios.

Cómo muchos usuarios no saben qué ni cómo hacerlo. Apple lo hace por ti lo que es muy conveniente y no tiene porque pedirte permiso. Tu estás ejecutando un software [b]propiedad de Apple[/b] (Safari) con una licencia [b]de uso[/b] que has tenido que aceptar para poder instalar tu sistema. Si se ha demostrado que Java 7 tiene una vulnerabilidad que está siendo explotada de forma masiva, deberías de agradecer a Apple que bloquee ese plugin.

El autor del artículo ha omitido, supongo que involuntariamente, 🙂 donde se puede localizar el fichero “XProtect.plist” cuyo contenido importante ha remarcado en rojo.
El fichero está situado en:
/Sistema/Librería/CoreServices/ dentro del paquete CoreTypes.bundle
Abriendo ese paquete con control-clic navegamos hasta
Contents/Resources
Y ahí dentro está el archivo XProtect.plist que debemos de comprobar.
Si la fecha de modificación es anterior a 10 de enero de 2013 (también se ve usando el comando de Terminal que ha indicado Carlos en el artículo) es que Xprotect no está actualizado y, por tanto no tienes el bloqueo contra el plugin de Java.
Abriendo ese fichero con un editor de texto (Texedit, etc) se puede localizar el dato que Carlos ha enmarcado en rojo.

Si XProtect no está actualizado, se puede forzar una actualización del mismo mediante el comando de Terminal:
/usr/libexec/XProtectUpdater

Es un tema serio por lo que todo el mundo debería de desactivar Java 7 hasta que Oracle saque un parche para solucionar el problema

Lucas Rei Ramos
Lucas Rei Ramos
11 years ago

Una pregunta. Esto afecta a java 6? Esa es la versión que tengo instalada

Alberto Lozano
Alberto Lozano
11 years ago

Afecta sólo al siete. Si XProtect lo tienes actualizado entonces Java no se actualizará hasta pasada la versión con el fallo y te seguirá funcionando con la que tienes.

Mymac
Mymac
11 years ago

Para ver qué módulo Java utilizas, basta ir a la pestaña Ayuda de Safari, ver módulos instalados y comprobar la versión.
La mía 1.6.0_37

--472636--
--472636--
11 years ago

“y no tiene porque pedirte permiso. Tu estás ejecutando un software propiedad de Apple (Safari) con una licencia de uso que has tenido que aceptar para poder instalar tu sistema”.

Estimado Alberto, con todo el respeto que mereces, creo que esta vez estas muy equivocado. Ni Apple ni nadie puede meterse en tu casa sin tu consentimiento, te podria citar unas cuantas leyes y derechos, como la ley de proteccion de datos, el derecho a la intimidad…. El que tengas un equipo de una compañia en casa, no le da a la misma el derecho a entrar en ella.

En cuanto a que el usuario no sabe como hacer para desactivar y apple facilita…. pues lo normal es que apple avisara con un mensaje y pidiese permiso al usuario para hacer dicha tarea.

De informatica no se mucho pero en derecho algo estudie en la universidad;

--472636--
--472636--
11 years ago

Y volviendo al tema, ignoro por que es tan importante desactivar java, como usuario normal, ¿en que puede afectarme ese fallo de seguridad? ¿en la toma de control por parte de hackers?.. si alguien diese una respuesta lo agradeceriamos los usuarios ignorantes como yo.

Alberto Lozano
Alberto Lozano
11 years ago

#7
Quizás no me expliqué del todo, escribir desde un iPad no requiere prisas.
Antes de que Apple actualizase XProtect para invalidar el Java 7, te apareció un mensaje diciendo que había actualizaciones disponibles y tu le dijiste que las descargara por lo tanto ya autorizaste a Apple a hacerlo. Si leíste le información de actualización, y luego le diste al botón actualizar, ya habías autorizado a Apple a “entrar en tu casa” 🙂 a partir de ahí, Apple modifica en sus aplicaciones lo que crea conveniente y sin pedirte ese permiso en concreto puesto que tiene otro permiso tuyo de “rango mayor”
Lo que sucede es que pasa con las EULAS lo mismo que con el BOE; nadie lo lee… Y eso que es vinculante. 😀

BTW la Universidad enseña a aprender. La profesión se conoce con el ejercicio de la misma..

Mandibul
Mandibul
11 years ago

A ver. Os pongo un caso práctico para el tontito (yo):
– Copio y pego en el terminal el churro que se indica en el artículo:
defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta LastModification
– El terminal me responde: Thu, 10 Jan 2013 22:48:02 GMT
– En preferencias del sistema, el panel de control de Java me dice: Su versión actual es Java 7 Update 9. Se recomienda actualizar ya para mantener seguro el sistema.
Indicándome más arriba que hay una nueva: la 7 Update 10.

Con estos datos: ¿Estoy tranquilo?

Graaaaaacias

Mendiaco
Mendiaco
11 years ago

Yo estoy con Kpax2012, que deberian de advertirtelo y mas con una funcionalidad así.
Por el java desactivado me encontre con un problema que no podia ejecutar un software que debia hacer funcionar rapidamente por motivos labrorales, causandome un trastorno la media hora que le didiqué a reinstalarlo.

En cuanto a las EULAS, pues es algo muy simple, son clausulas, que la mayoria son abusivas, pero disfrazadas de EULAS, hacen lo que les da la gana, y juegan con la necesidad del usuario a ejecutar ese software u otro software, como es en este caso, que si no lo instalas no puedes ejecutar segun que aplicaciones.
Os recomiendo que aparte del firewall de apple os instaleis algún otro, como littleSnitch y os dareis cuenta del monton de actividad de red que tiene vuestro equipo, y que a saber que es lo que estan mostrando de nuestra identidad y costumbres a terceros.

--472636--
--472636--
11 years ago

Gracias Carlos, aclarado.

Alberto, tiene gracia eso del BOE, pero es real. Yo tambien escribo desde una Ipad y comentar que no estoy en acuerdo. A endesa tambien le das permisos “de rango mayor” cuando te dan de alta el contador, pero eso no quiere decir, que cada vez que quieran por X motivos puedan entrar en tu casa. En cuanto a las licencias EULAS, que no es mas que un contrato entre empresa-usuario, hay una serie de condicionantes, pero eso no quiere decir que sean 100%100 licitas, pueden contener clausulas abusivas y ademas deben estar en el idioma del usuario final para que este las entienda completamente y en muchas de ellas, no es asi. Podria citarte muchos aspectos juridicos sobre el asunto, pero con una Ipad es bastante aburrido.
http://noticias.juridicas.com/external/disp.php?name=l56-2007
http://noticias.juridicas.com/external/disp.php?name=l34-2002
http://noticias.juridicas.com/external/disp.php?name=rdleg1-2007
http://noticias.juridicas.com/external/disp.php?name=l47-2002
http://noticias.juridicas.com/external/disp.php?name=rd1906-1999
http://noticias.juridicas.com/external/disp.php?name=l7-1998
http://noticias.juridicas.com/external/disp.php?name=l59-2003

Unas cuantas leyes, para que profundices un poco mas en los derechos del consumidor en tasaciones y contrataciones realizadas por internet.

Algunos si leemos algunos BOEs, pero todos es imposible y como te comente no todas las licencias EULAS se ajustan a derecho, como es el tan conocido caso de la legalidad e EULA de apple en europa de Cpear… las sanciones por publicidad engañosa en la no cobertura del segundo año tambien en europa, la EULA de sony con Psjailbreak….

No todo es tan claro, lo que si tengo claro que nadie se mete sin permiso en mi casa, sin pedirlo cada vez que quiera entrar. Asi que alberto,mtienes permiso de rango general para entrar, pero ya veras que pasa si te veo dentro, jeje. Un saludo.

--472636--
--472636--
11 years ago

Por cierto, tambien se puede evitar utilizando Hands off o little snitch, buenisimos programas. Y aprovecho para hacer una pregunta a Carlos, ¿existen programas de esas caracteristicas para Windows?

onffno
onffno
11 years ago

Ese es el problema de EULAS y BOEs y otros contratos privados, en muchos casos utilizan lenguas que existen en el planeta pero de forma ininteligible y cuando intentas leerlos parece premeditado. Tampoco todos tenemos abogado en casa ni una vida para descifrar lo que parece que no se quiere que se descifre.
Pero, a mí juicio, lo más escadaloso es creerlos como dogmas y no apelar a un sentido crítico para evitar abusos.

--472636--
--472636--
11 years ago

En acuerdo con mendiaco onffno, personas con sentido común, el menos común de los sentidos.

Alberto Lozano
Alberto Lozano
11 years ago

#13
Estoy de acuerdo contigo pero convendrás conmigo en que cada vez que te aparece una actualización, si pulsas en el enlace “mas” puedes ver qué es lo que va a hacer esa actualización y es potestad tuya el actualizar o no con lo que puedes evitar fácilmente que Apple te anule el famoso java 7, basta con no clickar el botón “actualizar”
En el momento en que le das al “actualizar” y cómo ya te has leído qué va hacer esa actualización, es cómo si le hubieses dado voluntariamente las llaves de tu casas al empleado de ENDESA.
En cualquier caso, nadie te obliga a aceptar una EULA. Simplmente no compras el ordenador, no adquieres la licencia o lo que sea. So far, so easy.

Por cierto, Firefox también ha anulado esa versión en su navegador.

Alberto Lozano
Alberto Lozano
11 years ago

Una cosa más.
Después de todo este jaleo, me he sentado diez minutos en el ordenador, dejando el iPad y las prisas a un lado, y he estado mirando qué es lo que realmente sucede con esa extensión y, por lo que veo, lo que hace Apple [u]es evitar que se instale una versión inferior a la 10.7.19[/u] que aun no ha salido y que se supone que tendrá la vulnerabilidad resuelta.
Si ya tienes instalado el java “malo” pues ahí está y a borrarlo a mano si se tercia, pero si vas a Oracle o java.com para intentar actualizar una versión anterior, no podrás a no ser que sea una versión superior a la 10.7.19.
Al menos yo tengo XProtect actualizado pero sigo pudiendo ejecutar la extensión de Java en Safari por lo que veo que no lo tengo bloqueado sino prohibida su actualización.
En cualquier caso XProtect no es así cómo debería de funcionar…

Por tanto lo que ha hecho Apple es [b]bloquear la actualización a la versión problemática pero no eliminar la que ya tienes en tu sistema[/b].

Carlos, corrígeme si estoy equivocado.
Por otra parte, no sé si has escrito algún artículo sobre cómo funiona la lista negra Xprotect pero de no ser así, sería interesante que lo hicieses.

¡Ah!, agradezco infinito todos los enlaces a disposiciones legales pero, con tu permiso, O:) no tengo ninguna gana de mirarlos. Despues de haber sido durante 10 años el consultor informático y tecnológico de un bufete de abogados (70+ empleados) he quedado muy saturado de textos legales. =;

--472636--
--472636--
11 years ago

Alberto, con mi permiso o sin el. Sabes que te tengo un gran aprecio por tu gran experiencia y si, cierto, te doy la razón en algunos aspectos.

Tambien apoyo tu propuesta y estaria interesado en saber como funciona el Xprotect.

Alberto Lozano
Alberto Lozano
11 years ago

¿Por mi experiencia en coches, en electrónica o en Macs? 😀 😀 😀

Un articulo de divulgación sobre Quarantine y XProtect sería ideal.

Por otra parte y como he indicado en otro comentario, ya está disponible la actualización de java con el problema de vulnerabilidad corregido. Se le supone:

http://java.com/es/download/mac_download.jsp?locale=es

21
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x