Los recientes problema de seguridad de Java comienzan a ser algo más que un dolor de cabeza para los usuarios de ordenadores. Ahora resulta que reciente y muy peligrosa vulnerabilidad descubierta en Java JRE 7 sigue disponible en la reciente actualización Java para OS X 2012-005 y Java for Mac OS X 10.6 Update 10 que solucionaban el problema de seguridad CVE-2012-0547, pero no la vulnerabilidad (la más peligrosa) CVE-2012-4681. La actualización de Oracle de JRE 7 ha sido calificada además por la empresa que encontró el problema de seguridad como “fallona”, así que la solución, llana y simple, es decirle adiós a Java.
El troyano Flashback demostró que las vulnerabilidad de Java son no solo reales, sino que afectan también a los usuarios de OS X. La situación empieza a ser tan incómoda y a causar tantas dudas sobre la seguridad real que la opción que queda al usuario final, salvo necesitar este entorno para ejecutar aplicaciones críticas.
Para desactivar Java, si su uso es solo “ocasional”, abre la Utilidad de Preferencias de Java en Aplicaciones > Utilidades y desactiva los correspondientes checkboxes.
También puedes borrar Java directamente usando los comandos en el Terminal:
sudo rm /usr/bin/java
sudo rm /System/Library/Frameworks/JavaVM.framework
Necesitarás la contraseña del administrador.
JRE 7 y OS X 10.8 Mountain Lion
/Library/Java/JavaVirtualMachines/1.7.0.jdk
Me gustaría saber en qué puedo notar el no tener Java activado (me refiero al día a día y no a aplicaciones basadas en Java que, por otro lado, cada día son menos).
La vulnerabilidad afectaba a la todas las versiones de java 7, la captura que muestras de las preferencias tiene la versión de java 6, por lo que no se ve afectada.
Además, oracle ya ha publicado una nueva versión de java 7 que soluciona esta vulnerabilidad. Sólo hay que actualizarse a la última versión.
Un saludo,
Y si eres usuario de Photoshop o de otras aplicaciones de la suite de Adobe necesitas la máquina Java.
Pero yo tengo una duda en cuanto a las actualizaciones. Desde Oracle actualicé a la versión 7 pero ayer me apareció en el macbook una actualización automática del mountain lion a la 1.6_35… con lo que no sé si tengo que volver a actualizar a la 7 de nuevo desde Oracle.
Una vez instalada la actualización se debe activar, ya que las máquinas virtuales son independientes. Puedes tener la 7 y la 6… Aunque si la aplicación no tiene preferencia por alguna de ellas, utilizará la de más arriba.
[img]http://www.rafaespada.com/irudiak/_skitch/Java_Preferences-20120907-110451.png[/img]
Sobre qué se nota o que no… desde luego a nivel de web salvo bancos y algún tema concreto no es necesario. En Safari en las preferencias de seguridad se puede desactivar.
A nivel de aplicaciones, pues dependerá… yo uso CrashPlan para hacer copias de seguridad y sí necesita de Java para funcionar. También sé que Adobe pero no sé a qué nivel… en general lo puedes desactivar y ver que todo funciona, y si no activarlo.
Desde luego con desactivar en el navegador, ya que los ataques vendrán de webs comprometidas, no se deberían tener problemas.
Bueno, un poco de sentido común con lo que se mete en el ordenador también vendrá.
Para una web que tengo hice este vídeo: https://vimeo.com/48681420 de cómo se activa una u otra versión de máquina virtual.
Al fintal, en el terminal: “java -version” te dirá qué máquina virtual es la activa por defecto.
Disculpadme, pero ahora mismo no sé qué debo hacer con las actualizaciones de JAVA, y eso que he leído los artículos donde describís los problemas de seguridad que están apareciendo.
Tengo instalada y activa la versión 1.6.0_33-b03-424, en 64 y 32 bits, en un iMac mid 2011 con Lion.
La actualización de software está “esperando” para que instale la versión JAVA para OS X 2012-005, versión 1.6.0_35, pero tras los últimos artículos no sé si quedarme con la que tengo, actualizar o borrar cualquier rastro de JAVA en mi sistema. He probado a desactivar “Permitir JAva” y “Permitir JavaScript”a través de preferencias/Seguridad de Safari, pero en ese caso no puedo acceder a mi banco.
Creía que las actualizaciones de Apple eran seguras, y que podía descargarlas sin tener que acceder a las versiones oficiales (la 7 en este caso).
¿Me podríais aconsejar qué es lo que debe hacer un usuario medio como yo? (además de, como es obvio, sólo instalar aplicaciones y entrar en páginas web de confianza)
¡Muchas gracias y un saludo!
Actualizo: otra cosa que ocurre al desactivar “Permitir Java” y “Permitir JavaScript”a través de preferencias/Seguridad de Safari, es que los “me gusta” y “G+1” en los blogs desaparecen (???)
#6 Activa javascript, anda. Javascript NO es lo mismo que Java y lo necesitas para navegar.
Jeje, activado…
Respecto a la actualización, ¿la instalo o “Virgencita que me quede como estoy”? (versión 1.6.0_33-b03-424)
Muchas gracias!
PD: estoy deseando que llegue el miércoles para participar en el chat de FaqMac coincidiendo con el evento Apple… ¡cómo me lo pasé en el último!
Tu instala la actualización. 🙂
que diferencia hay entre Java 6 la que ML instala y la version 7 de Oracle? funciona mejor la suit de Adobe o algo similar?
desactivar java, así por las buenas…
Joder luego por aquí se critica el alarmismo de empresas como Intego y sus alarmas de virus mac, y te viene un “genio” que postea en una web de mac y te dice esto.
La duda puede estar viniendo porque hasta ahora JAVA era soportado por Apple, hasta la versión 6, pero desde la versión 7 es la propia Oracle la encargada de ello. Así que las actualizaciones de la 6 las sigue ofreciendo Apple y las de la 7 Oracle. Sin versiones que coexisten.
No es necesario actualizar porque de momento casi todas las aplicaciones funcionan con JAVA 6, que además no tiene el grave problema detectado en la 7.
Sobre el alarmismo de desactivar, bueno… creo que en el 99% de los equipos puede estar desactivado. Por lo general si una aplicación necesita de JAVA y lo tienes desactivado te avisará.
[img]http://www.rafaespada.com/irudiak/_skitch/UserNotificationCenter-20120908-094616.png[/img]
En en el caso del navegador, pues por el mismo motivo que tengo desactivados los plugins y es que si no necesito, para qué tenerlo activado? mejor rendimiento que tendré.
[quote]En en el caso del navegador, pues por el mismo motivo que tengo desactivados los plugins y es que si no necesito, para qué tenerlo activado? mejor rendimiento que tendré.[/quote]
Y más tranquilo estarás.