Vulnerabilidad crítica en Java RE 1.7. Desactiva Java

Las últimas horas han sido bastante ajetreadas en el mundillo de la seguridad informática y todo por una nueva vulnerabilidad crítica descubierta en la versión más reciente de Java RE (1.7). Todo empezó con la publicación de un artículo en el blog de FireEye donde se alertaba de la existencia de un exploit que estaba siendo aprovechado activamente. Usando de esta vulnerabilidad un atacante puede descargar software malicioso en el sistema del usuario sin su intervención. Tan solo hace falta que pulsemos sobre un enlace malicioso especialmente preparado para infectar a nuestro sistema.

La gravedad de esta vulnerabilidad se agrava mas aun tras comprobar que Oracle no ha lanzado ni tiene previsto lanzar en breve una actualización de seguridad que la solucione. La próxima ronda de actualizaciones del software de Java está prevista para octubre e, incluso si Oracle decidiera lanzar un parche fuera de ciclo, aun tardaría unos días, tiempo más que suficiente para infectar millones de máquinas.

Hasta el momento se ha comprobada que la única rama afectada del software de Java es la mas reciente 1.7, no afectando a versiones 1.6 y anteriores (aunque estas versiones tienen sus propias vulnerabilidades). Aunque al principio se pensó que esta vulnerabilidad afectaba únicamente a sistemas Windows, varios investigadores han comprobado que también funciona en sistemas Linux (Mozilla Firefox corriendo en Ubuntu) y Mac (Safari corriendo en Mac OS X 10.7.4) por lo que estaríamos ante una nueva amenaza multiplataforma.

De momento y debido a la ausencia de un parche de seguridad, la única recomendación posible (por muy extrema que parezca) es desactivar Java por completo en todos los navegadores que usemos. Tanto nuestros compañeros del blog de seguridad Security by Default como la Oficina de Seguridad del Internauta ya han publicado los pasos necesarios para desactivar Java, pasos que pasamos a reproducir a continuación:

Desactivar Java en Internet Explorer

1.- Acceder al menú Herramientas > Opciones de Internet

2.- Pestaña Programas > Administrar complementos

3.- Seleccionar la opción de mostrar Todos los complementos > Seleccionar Java Plug-in 1.7

4.- Pulsar sobre el botón Deshabilitar y cerrar la ventana

Desactivar Java en Mozilla Firefox

1.- Acceder al menú Herramientas > Complementos

2.- Acceder al apartado de Plugins

3.- Seleccionar todos aquellos elementos que pertenezcan a Java (pueden tener varios nombres)

4.- Pulsar sobre el botón Desactivar

Desactivar Java en Google Chrome

1.- Escribir “chrome://plugins/» en la barra de direcciones del  navegador para acceder al menú de plugins.

2.- Buscamos el plugin de Java y pulsamos sobre Inhabilitar

Desactivar Java en Safari

1.- Accedemos al menú Preferencias > Apartado “Seguridad”

2.- Desmarcamos la opción “Permitir Java”

Con estas medidas evitaremos que se instale malware en nuestro sistema si pulsamos por accidente en un enlace malicioso preparado por un atacante que se  esté aprovechando de esta vulnerabilidad. Pueden parecer medidas drásticas pero viendo la gravedad de esta vulnerabilidad 0-day, y sabiendo que ya ha sido incorporado un módulo en el conocido framework Metasploit, es mejor tomar todas las precauciones posibles ante la avalancha de malware que aprovecha esta vulnerabilidad que se nos viene encima.

Josep Albors

@JosepAlbors

Actualización: Según informan nuestros compañeros de ESET Latinoamérica, los primeros indicios indican que esta vulnerabilidad ha sido utilizada para propagar un troyano detectado por ESET NOD32 Antivirus como Win32/Poison.NHM. Además, el applet malicioso es detectado mediante una firma genérica como Java/Exploit.Agent.NDE. Al no existir un parche aún, se recomienda ser muy cuidadoso con los sitios y enlaces visitados. La próxima actualización de Java por parte de Oracle está programada para el próximo 16 de octubre, sin embargo, puede haber una excepción. Esperemos que por la seguridad de todos, así sea. Mientras, existe un parche no oficial que puede ser solicitado en Deep end Research.

Actualización 2: Oracle ha lanzado un parche que soluciona esta grave vulnerabilidad. Es altamente recomendable que se aplique esta actualización para evitar ser afectados por varios tipos de malware que han incluido esta vulnerabilidad como vector de ataque. El parche se puede descargar desde el enlace que se ha habilitado para tal efecto.