• Tweet

En una publicación del blog de seguridad de Microsoft , Tim Rains, director del Trustworthy Computing Group de Microsoft, escribió sobre la gran cantidad de exploits para Java encontrados en el entorno.

Durante la segunda mitad de 2010 y primer semestre de 2011, entre la mitad y un tercio de todos los exploits observados por la herramienta de eliminación de software malicioso de Microsoft, atacaron vulnerabilidades en Java - en el Runtime Environment, la Virtual Machine o el Java SE en el Java Development Kit. Rains basó sus comentarios en el último informe de Microsoft Security Intelligence.

Créditos: The H Security

En los datos publicados por Microsoft, hay un aumento importante de exploits de Windows durante el segundo trimestre de 2011 (la línea naranja en el gráfico anterior). Extrapolando, todo parece indicar que los exploits de Java superarán a los del tercer trimestre; sin embargo, Microsoft afirma que este aumento se debió a la ventaja encontrada en una sola vulnerabilidad del shell de Windows, la cual se describe en el CVE-2010-2568. En agosto de 2010, Microsoft lanzó un parche de emergencia para hacer frente a este problema. La vulnerabilidad afecta a todos los sistemas operativos de Microsoft.

De los cuatro exploits más comunes de Java detectados, uno fue tratado en una actualización de seguridad en diciembre de 2008 y otro poco menos de un año después, en noviembre de 2009. Los otros dos, incluidos en este grupo, fueron tratados en marzo de 2010. El hecho de que todavía se desplieguen, tras mucho tiempo después de haber sido abordados por actualizaciones de seguridad, sugiere que muchos usuarios no actualizan sus sistemas con la frecuencia necesaria para corregirlos. Como mencionó Rains, en la entrada de su blog, es probable que los atacantes maliciosos continúen con el despliegue de exploits si "continúan obteniendo una rentabilidad positiva o de inversión".

Explotar vulnerabilidades antiguas no sólo debería preocupar a usuarios de Java. Como señaló Krebs on Security , ha surgido un nuevo exploit, y se construye con herramientas de ataque automatizadas. La vulnerabilidad crítica de este ataque fue abordado en una actualización, pero sólo las últimas versiones de Java están a salvo de esta  reciente vulnerabilidad. Si los usuarios atrasan sus actualizaciones, un gran número de ellos estarán propensos al riesgo de esta vulnerabilidad. Los usuarios que deseen comprobar si su sistema utiliza Java, y para determinar su número de versión, pueden hacer uso del verificador de versión en la página web de Java.