Hacker de Java se jacta de encontrar dos agujeros más sin parches

Adam Gowdiak, el informático que descubrió varias vulnerabilidades de Java en el pasado, ha vuelto a avergonzar a Oracle.

Gowdiak, que  saltó a la fama el año pasado cuando informó de una vulnerabilidad, esperó la respuesta de Oracle, y subió la apuesta con una nueva vulnerabilidad.

Es un déjà vu que se repite: el investigador polaco jactándose públicamente de encontrar nuevas vulnerabilidades solo una semana después del último parche de Oracle.

Gowdiak, cuyo lema es “llevamos la investigación en seguridad al siguiente nivel”, critica la manera en que se ha realizado el último parche.

La similitud que hace es que, aunque han cerrado la puerta de la oficina con la actualización 7u11, Oracle ha dejado abierta la entrada al edificio, lo que considera que es una invitación a encontrar otra manera de entrar en la oficina.

gowdiak-1

No sólo es una invitación sino que ya ha encontrado la manera de entrar.

gowdiak-2

¿Nos encontramos ante un ejemplo de que la seguridad en Oracle es peor que en el resto?

¿O es Oracle la compañía tecnológica que los friquis aman odiar?

¿Qué opinas tú?

¿Es que consideramos a Oracle como la multinacional cuyo multimillonario fundador no encontró su vena filantrópica (como Bill Gates), o que no pudo crear elegantes productos que todo el mundo quisiera (como el último Steve Jobs)?

¿Es Oracle el proveedor de bases de datos corporativas que continuó negando después que todos los demás comenzarán a admitir que la ecuación vulnerabilidad + exploits = dinero para los cibercriminales debería tomarse en serio?

Sean cuales sean las razones,  Oracle parece que no quiere aprender la lección sobre como parchear un software utilizado masivamente por la sociedad. Parchea pronto y a menudo, no niegues los errores, y piensa en soluciones más allá de las que son estrictamente necesarias.

De hecho, con la última actualización de Java:

– Salió antes de lo que esperaban mucha gente

– Una configuración de seguridad más estricta para el código firmado.

– Un panel de control con la opción de desactivar Java en nuestro navegador

lock-java-out-of-browser

Hemos recibido críticas de administradores de sistemas sobre nuestras recomendaciones de bloquear Java argumentando que “no podemos esperar que una red empresarial entierre Java tan rápido”

Posiblemente tengan parte de razón. Existen muchas más complicaciones para que una gran red heterogénea de ordenadores adapte su configuración de Java a que lo haga un consumidor.

De todas maneras creemos que es el momento de abordar este tema ya que no podemos postergarlo demasiado tiempo. ¿Tenemos que recordaros lo que ocurrió con el IE 6?

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: