Se está convirtiendo en un serio problema de seguridad el plugin de Java, llevamos meses comprobándolo. Oracle ha añadido seguridad en su configuración por defecto, y ofrecido más granularidad a los usuarios.

Pero todavía es mejorable. ¿Para qué sirven las nuevas funcionalidades y qué se puede esperar de ellas?

Otra forma de controlar el plugin de Java es desde el propio navegador.
Siempre existe la opción de deshabilitar el plugin o desinstalarlo del navegador, pero quizás el usuario prefiera mantener una lista blanca de páginas en las que debe usarse y paralizar la ejecución en el resto.

Chrome

Por defecto, el que mejor protege contra el plugin. Pregunta por defecto si se desea ejecutar el plugin en el navegador, y permite poner en lista blanca el dominio. En cualquier caso, existen complementos que permiten obtener mayor granularidad incluso con otros plugins. Es el caso de "NotScripts".

http://3.bp.blogspot.com/-Tyg0DvMERj0/URpB53LtPiI/AAAAAAAACJw/VhN2IFt0zko/s1600/j20.png

Firefox

Firefox tiene la suerte de contar con NoScript, uno de los complementos más veteranos en este aspecto, que permite una gran granularidad para permitir o no la ejecución de Java, JavaScript, etc.

http://3.bp.blogspot.com/-yaTBmkiiJKo/URpCBmgnxqI/AAAAAAAACJ4/OGb48dIChxE/s1600/j21.png

Internet Explorer

Este navegador cuenta con las el uso de zonas, con lo que en teoría ya viene de serie con la posibilidad de bloquear plugins y funcionalidades en páginas según listas blancas y negras. Algo muy útil… si funcionara realmente con los plugins de Java. No funciona "del todo". En teoría bastaría con deshabilitar Java en la zona de "Internet", que es la zona en la que "caen" todas las páginas que no se hayan establecido como "de confianza" explícitamente.

http://4.bp.blogspot.com/-FntbQfBd_CA/URpCHrKPiVI/AAAAAAAACKA/Sgb_oNrt4kU/s1600/j22.png

Luego, en las páginas que se quisiera mantener la funcionalidad, se pondría en la lista de la zona de "confianza". Pero realmente no es tan sencillo. Existen muchas formas de llamar a un applet y los atacantes podrían eludir esta restricción, con ciertos "trucos". Para mitigar el problema, el CERT de Estados Unidos ha publicado un fichero .reg que, importado en el sistema, permite realmente deshabilitar (activando el kill bit) la mayoría de los CLSIDs conocidos para Java. Pero solo lo hará para la zona de Internet del navegador. Así se podrá seguir usando la zona de "confianza" como lista blanca. La información está aquí:
http://www.kb.cert.org/vuls/id/636312. Puede que incluso este .reg no esté completo, con lo que, si realmente se quiere estar seguro, lo mejor sería quizás desinstalar el plugin para el navegador Internet Explorer, y utilizar otro navegador para las páginas que necesariamente necesiten Java.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2013/02/mejorar-y-entender-la-seguridad-del_11.html#comments

Más información:

una-al-dia (28/01/2013) Mejorar y entender la seguridad del plugin de Java (I)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del.html

una-al-dia (29/01/2013) Mejorar y entender la seguridad del plugin de Java (II)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del_29.html

una-al-dia (30/01/2013) Mejorar y entender la seguridad del plugin de Java (III)
http://unaaldia.hispasec.com/2013/01/mejorar-y-entender-la-seguridad-del_30.html

una-al-dia (03/02/2013) Mejorar y entender la seguridad del plugin de Java (IV)
http://unaaldia.hispasec.com/2013/02/mejorar-y-entender-la-seguridad-del.html

Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar