Home » cve » Alerta de Seguridad Java – CVE-2013-1493

Alerta de Seguridad Java – CVE-2013-1493

Hoy ha sido un día muy productivo en mis pesquisas sobre alertas de seguridad. La lectura del artículo de Andy Greenberg alertando de las vulnerabilidades de Java, al mismo tiempo que la solución de la compañía Etsy de tener instalado la JVM en unas pocas de máquinas sobre las cuales todos los accesos son monitorizados y las actualizaciones controladas, me pareció una medida de bastante impacto a nivel de usuario. Y es que casi todos tenemos un java instalado en nuestros ordenadores, más de 1.1 billones de máquinas virtuales se encuentran instaladas según cifras oficiales de Oracle. Pero es que Java sigue siendo el lenguaje favorito en el 2013 según la comunidad TIOBE, y una de las bases del mundo Android en los dispositivos móviles. Para mí, y creo que para bastantes usuarios, la opción de tener java solo instalado en unos servidores remotos no es una. Así que ¿Cómo saber a qué estoy expuesta?.

Primero un mensaje tranquilizador: Java esta soportada por Oracle, monitorizada por muchos agentes y cuando una anomalía es encontrada no tarda mucho en salir el patch que lo soluciona.(Pero también es un centro de atención para los hackers que no dudan en centrar sus esfuerzos en crackearlo). Problema, uno se descarga cuando necesita el jdk y después no volvemos a mirar para él. Por ello, casi todas las empresas tienen un sistema de actualizaciones que permiten gestionar las versiones, compatibilidad entre versiones, etc…Pero vamos a suponer que no disponemos de uno de esos programas, pues vamos a mirar paso a paso lo que tendríamos que hacer.

Paso 1-> comprobar el jdk que tenemos instalado en nuestro ordenador…que podemos tener muchos, y algunos de ellos embarcados, con lo que no sería visible…Yo creo que la manera más eficiente para descubrir todas las instancias java más en Windows es : abrir todos los programas con lo que solemos trabajar , navegadores, etc.. ir al administrador de tareas-> en la pestaña de procesos seleccionar el botón  “Mostrar  procesos de todos los usuarios”, asegurarse que se tiene la columna línea de comandos visible (Menu Ver-> Seleccionar columnas) y buscar los procesos java, javaw , etc…

Paso 2-> A través de  la línea de comandos situarse en el directorio indicado en la columna línea de comandos del administrador de  tareas, y ejecutar java –versión.


c:\Program Files\Java\jdk1.7.0_07\bin>java -version



java version “1.7.0_17”



Java(TM) SE Runtime Environment (build 1.7.0_07-b11)



Java HotSpot(TM) Client VM (build 23.3-b01, mixed mode, sharing)


Paso 3 -> Vamos a la base de datos de vulnerabilidades http://web.nvd.nist.gov/view/vuln/search y buscamos por java 7 las alertas técnicas. El buscador nos devuelve un montón de vulnerabilidades, entre ellas las más reciente , comentada más arriba que afecta a

Paso 4 -> Implementar la solución: La alerta más reciente es la CVE-2013-1493, tiene su ficha detallada en la que, entre otras cosas, obtenemos información sobre la solución, que podemos resumir en

a) instalar la última versión de Java , Java 7 Update 17  .Esta versión establece el nivel de seguridad de Java por defecto a alto, con lo que los usuarios serán preguntados antes de ejecutar applets de java sin firma o firma desconocida.

b) Instalar la última versión del  plugin java para los navegadores. (otra opción es deshabilitar el plugin java que se encuentra en los browser ).

Conclusión: La informática es como la vida misma. Desde que utilizamos un ordenador todos estamos expuestos,  y no existen soluciones milagrosas……pero hay muchos y  buenos médicos..Saludos benignos.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

MarcaEmpleo

Búsqueda de Empleo - Marcaempleo

%d bloggers like this: