This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Apple obtiene agresiva - el último OS X de seguridad de Java arranca actualización cabo la compatibilidad con exploradores

Filed Under: Featured, Java, Vulnerability

Hacer un seguimiento de qué versión de Java que tienes, y si es la última y más segura, puede ser un poco complicado, especialmente para los usuarios de Apple.

Oracle, el custodio de Java , los parches de sus productos los martes, como Microsoft y Adobe. Pero utiliza un diferente Martes, y un conjunto diferente de meses para diferentes productos. (La mayoría de productos de Oracle están revisados ​​trimestralmente para Java, son tres veces al año.)

For Your Diary: Oracle actualización crítica

Actualizaciones críticas de parches (CPU) son conjuntos de parches de seguridad, publicado el martes más cercano al día 17 del mes. Para la mayoría de los productos, los parches vienen cuatro veces al año:

15 enero 2013 hasta 16 abril 2013 - 16 julio 2013 hasta 15 octubre 2013

Para Oracle Java SE, los parches vienen tres veces al año:

19 Feb 2013 - 18 junio 2013 a 15 octubre 2013

Correcciones considerado demasiado crítico que esperar a la siguiente CPU son emitidas ad hoc como alertas de seguridad.

Una vez que Oracle ha parcheado Java, Apple luego chupa los cambios en su árbol de código Java y las cuestiones de sus propias actualizaciones, pero nunca se puede estar muy seguro de cuánto tiempo va a tomar.

Manzana infame tomó hasta abril de 2012 para expulsar un parche que había estado a disposición de todo el mundo desde febrero, lo que deja una ventana larga de oportunidad a los autores de malware. Utilizaron esta ventana (sin juego de palabras) para construir una red de bots de tamaño gigante de Macs infectados por un troyano llamado OSX / Flshplyr-B .

Este mes, las cosas han sido más tranquilo y más previsible. Oracle Java actualizado el martes 16 de octubre de 2012, como se esperaba, Apple hizo lo mismo al día siguiente.

Las versiones más recientes son:

Vendedor Suelte Versión actual
Oracle (todos los sistemas operativos) Java SE 7 1.7.0_09-b05
Apple (OS X) Java SE 6 1.6.0_37-b06

Desde hace algún tiempo, el consejo de seguridad Naked ha sido la de deshacerse de Java por completo si usted no lo necesita, o para prohibirlo desde su navegador si utiliza Java sólo para el funcionamiento de aplicaciones pre-instaladas.

Mantener Java de su navegador elimina el riesgo de applets hostiles - especial despojada programas Java embebido en páginas web.

Parece que Apple ha estado escuchando.

En primer lugar, se detuvo el envío OS X con Java preinstalado en OS X Lion (10,7) salió. León y León de montaña (10,8) incluir un esbozo de programa (/ usr / bin / java) que ofrece para descargar e instalar Java si alguna vez tratas de usar, pero no se instala de forma predeterminada.

Entonces, Apple publicó una actualización que se encendía Java en su navegador si no había utilizado ningún applet por un tiempo, lo que reduce su exposición innecesaria a la hostil código Java en la web.

Y en su última actualización de seguridad, Apple ha sido aún más agresivo.

Codificadores de Cupertino no sólo golpeó a su versión de Java a la última versión de Oracle de Java SE 6 (1.6.0_37), pero también arrancó el componente plugin para el navegador por completo.

Por lo tanto, después de aplicar la última actualización de OS X Java - que sólo es necesario si ya ha elegido instalar Java - usted no será capaz de ejecutar applets en el navegador

Esto puede parecer un error, pero para la mayoría de usuarios, es una característica. Usted se dará cuenta si realmente necesita Java en su navegador, ya que Apple añade un plugin marcador de posición que llena cualquier ventana del applet con un "Missing Plug-in" de advertencia y un botón de descarga.

A continuación, puede elegir si desea instalar el plugin que falta o para aprender a vivir sin él.


El único inconveniente es que para adquirir el plugin subprograma es necesario, usted tiene que instalar Java de Oracle en tiempo de ejecución en paralelo con Java de Apple.

Esto le deja con el doble de Java en el Mac: la última versión de Apple de Java SE 6, y la última versión de Oracle de Java SE 7. (No puede obtener un tiempo de ejecución de Java de Oracle para que coincida con el de Apple un - Oracle no construye un Java 1.6.0-condimentado para OS X, ya que es visto como trabajo de Apple.)


La pregunta que usted querrá responder ahora es: "¿Debo obtener la actualización inmediatamente, o esperar?"

Sugiero que usted no debe esperar.

Estas últimas actualizaciones de Java solucionar 30 agujeros de seguridad en total, todos los agujeros, pero uno podría permitir la ejecución remota de código, y 23 de ellos están clasificados como de lo que Oracle llama a una complejidad de acceso de "baja". Cuanto menor sea la complejidad de acceso, lo más probable es que un exploit de trabajo se pueden encontrar y utilizar.

Oracle ha publicado una detallada matriz de riesgo , si no están convencidos de actualizar ya.

Para más información, aquí hay algunos enlaces útiles, tanto generales como específicos:

• Apple seguridad notificación: página de aterrizaje General (HT1222)

• Apple seguridad notificación: correcciones de Java para Octubre de 2012 (HT5549)

• Oracle CPU y alertas de seguridad: página de destino general

• Oracle Java SE notas de la versión: la página de destino general

• Oracle Java SE notas de la versión: 1.6.0_37-b06 (octubre de Apple versión 2012)

• Oracle Java SE notas de la versión: 1.7.0_09-b05 (octubre de Oracle versión 2012)

• Oracle Java SE riesgo matriz: octubre 2012 Actualización Crítica

Espero que esto ayude.

You might like

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog