This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Java 7 update 10 introduce importantes nuevos controles de seguridad

Filed Under: Featured, Java, Oracle, Security threats

Oracle Java sólo parches para las vulnerabilidades de seguridad de tres (?) Veces al año, pero eso no quiere decir que no libera corrección de errores y otras nuevas funciones del entorno de ejecución de casi omnipresente.

La semana pasada, Oracle enviado Java 7 update 10 (Java 7u10), el último de la serie Java 7, que incluye nuevos controles de seguridad , además de una corrección de errores y actualización de datos de zona horaria.

¿Cuáles son estos nuevos controles?

Java del panel de control El primero de ellos, mi favorito, le permite desactivar el plugin Java Web desactivando una sola casilla. Después de instalar Java 7u10 puede abrir el panel de control de Java y desmarque la opción "Habilitar contenido Java en el navegador".

Para usuarios con aplicaciones basadas en Java (como yo!) Deshabilitar el plugin web elimina la mayoría de los efectos secundarios de haber instalado Java.

Java ahora también comprobar para ver si está en lo último en seguridad "línea de base". ¿Qué significa eso? Bueno, es el de la última versión de Java que se publicó con correcciones de vulnerabilidades conocidas, que a partir de esta publicación es Java 7u9.

Oracle afirma:

Si el JRE se considerará caducada o inseguras, las advertencias de seguridad adicionales se muestran. En la mayoría de estos cuadros de diálogo, el usuario tiene la opción de bloquear el funcionamiento de la aplicación, para continuar ejecutando la aplicación, o para ir a java.com para descargar la última versión.

En mi opinión esto es un poco de un fallo de seguridad. No permita que los usuarios elijan las opciones que a sabiendas los ponen en peligro. Como profesionales de la seguridad que tenemos que dejar de esperar que los usuarios tomen decisiones importantes de seguridad ( certificado navegador advertencias alguien?).

Java 7u10 también introduce el concepto de niveles de seguridad. El nivel predeterminado es Medio, que permite ejecutar aplicaciones no confiables si Java está parcheado, pero sólo permitirá que las aplicaciones firmadas que se ejecutarán si usted está fuera de fecha.

Este es un defecto terrible. En mi opinión nunca debe ejecutar aplicaciones Java sin previo aviso y no debería ejecutarse aplicaciones sin firmar.

Incluso las aplicaciones firmadas podría no ser seguro si su Java es vulnerable. Afortunadamente hay una opción personalizada que le permite afinar este comportamiento.

Java control panel customize settings Puede controlar si se debe ejecutar sin que el usuario del sistema, del sistema o No ejecutar para tres situaciones diferentes.

Prefiero desactivar Java en su navegador por completo, pero si no puedes, entonces te recomiendo que no corras para aplicaciones no confiables si su Java está actualizada o no.

Para los applets locales de la configuración de usuario del sistema le avisará al hecho de que algo que utiliza Java está tratando de correr y brindar una oportunidad para bloquearlo si no están intencionalmente ejecutar código Java.

Creo que es genial que Oracle está haciendo Java más configurable y tal vez fortalecerá aún más la configuración predeterminada en una versión futura. Lo recomiendo a todos actualizar y elegir la configuración más apropiada para su entorno.

Los administradores de sistemas deben prestar especial atención a notas de la versión de Oracle, ya que hay opciones de línea de comandos para las implementaciones de Windows para controlar estos nuevos ajustes. Se le tocaría a ellos bloquear tan fuerte como te atreves.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.