La vulnerabilidad fue encontrada hace un par de meses y fue solucionada en la última ronda de actualizaciones de Java de Oracle, incluyendo la correspondiente versión para Mac OS X. Sin embargo, muchos usuarios no siguen una política activa de actualización de sus sistemas operativos y los componentes asociados y esa desidia acaba convirtiéndose en una puerta de entrada para ataques.
La vulnerabilidad permite que un applet de Java malformado se ejecute de forma indetectable en muchos navegadores y permite la ejecución de código fuera del entorno de Java con los privilegios del usuario que lo está ejecutando. Esto implica que el código ejecutado tendría acceso a cualquier elemento del sistema incluyendo la información almacenada en el mismo. Para una cuenta de usuario tradicional, el ataque permitiría el acceso a documentos e información almacenada en el ordenador, pero para las cuentas de administrador, el problema se extiende al sistema, la carpeta de aplicaciones y cualquier, en general, elemento accesible con este tipo de privilegios.
Más allá de la vulnerabilidad en si, el problema es que el software necesario para ejecutar esta vulnerabilidad se está usando y vendiendo de forma muy activa en internet y su indetectabilidad está comprometiendo la seguridad de muchos ordenadores, incluyendo todos los sistemas operativos que usan la versión de Java anterior a 1.6.0_29-b11, da igual que sea Windows, Mac OS X o incluso Linux.
El único navegador que ofrece cierta realimentación sobre si se está ejecutando un applet de Java, ya sea con el consentimiento del usuario o sin el es Chrome: el resto de navegadores incluyendo Internet Explorer, Safari o Firefox.
Según Krebs on Security, la vulnerabilidad no debe ser tomada a la ligera por ningún usuario ya que Java está instalado en más de 3.000 millones de ordenadores a lo largo de todo el mundo. Krebs cita específicamente a Tim Rains de Microsoft al respecto de que la mayoría de vulnerabilidades explotadas a lo largo de la primera mitad de 2011 están basadas en problemas de Java.
Evidentemente, la mejor forma de evitar este tipo de ataques basados en el uso común de Java por parte de los usuarios es mantener nuestras instalaciones actualizadas.
En el caso de Mac OS X, la gestión de la correspondiente versión de Java se realiza a través de la utilidad Preferencias de Java, que se encuentra en Aplicaciones > Utilidades > Preferencias de Java y que nos permite no solo conocer cual es nuestra versión de Java, sino también otro tipo de información relevante como que sitios web tienen acceso a Java sin la autorización expresa del usuario.
Ventana principal de Preferencias de Java con la identificación de la última versión instalada (en este caso, una versión no vulnerable)
Opciones de ejecución de Applets en la pestaña Seguridad.
Las últimas versiones de java disponibles para Mac OS X están disponibles siempre en el Panel de Control de Preferencias del Sistema, aunque también pueden descargarse directamente desde Apple tanto para Snow Leopard (Java Update 6 for Mac OS X 10.6) como para Lion (Java Update 1 for OS X 10.7).
Además de mantener Java actualizado, hay un par de acciones que puedes añadir para protegerte de forma adicional: si no usas con frecuencia Java, puedes desactivar su ejecución de tu navegador. En el caso de Safari, la correspondiente opción está en Preferencias > Seguridad desactivando la opción Permitir Java.
Los usuarios que actualizaron Java hace ya más de un mes no deberían preocuparse excesivamente ya al menos de esta vulnerabilidad, pero si no lo hiciste, es el momento de asegurarte de que no eres un usuario con una diana en la espalda descargando y aplicando la actualización correspondiente.
