Java 7u11 - ¿Es más seguro cambiar a 6?

Question

Java 7u11 - ¿Es más seguro cambiar a 6?

#1 de user2213 (1 votos)
#2 de j-sec (0 votos)
#3 de D.W. (0 votos)

3

La actualización de Java 7u11 ha hecho algunas noticias últimamente por un par de razones. En primer lugar, fue un parche fuera de banda para resolver las vulnerabilidades que se explotan en la naturaleza. Luego volvió a subir porque ahora se está descubriendo que el parche está incompleto. Las noticias que estoy leyendo ahora parecen indicar que una o más de las pocas cosas están sucediendo.

Una vulnerabilidad que se suponía que estaba parcheada en 7u11 realmente no se corrigió en absoluto.
Se han encontrado nuevas vulnerabilidades en 7u11.
- No está claro si estas son nuevas para 7u11, o vulnerabilidades preexistentes recientemente descubiertas.
Aunque se realizó un esfuerzo de mitigación en 7u11, los nuevos métodos de explotación (posiblemente junto con nuevas vulnerabilidades) están permitiendo que se ponga en peligro la vulnerabilidad que supuestamente se parchó.

Las notas de la versión para Java 7u11 apuntan a una sola vulnerabilidad, CVE-2013-0422. Esta vulnerabilidad parece ser exclusiva de Java 7. Sin embargo, Java 6 sigue recibiendo actualizaciones hasta febrero de 2013.

Si eliminar Java por completo no es una opción, ¿sería más seguro cambiar a la última versión de Java 6 por ahora? O, ¿hay suficientes vulnerabilidades sin parchear en Java 6 que se resuelven en 7, de modo que la versión más reciente sigue siendo el menor de los dos males?

java

pregunta Iszi 18.01.2013 - 21:45

fuente

3 respuestas

Lea otras preguntas en las etiquetas java

¿Cómo debo almacenar una contraseña para permitir que las personas ingresen caracteres individuales? [duplicar] asegurando sitios web no parcheados

score 1 · Answer 1

Me arriesgaría a suponer que no. No se basa en pruebas sólidas, solo un recelo que tengo acerca de revertir al software que podría no recibir las correcciones más recientes (las versiones anteriores finalmente irán a la pila de "solo actualizar"), especialmente si eres un objetivo de alto valor.

Una cosa 7u11 ha hecho esto :

Área: desplegar Sinopsis: la configuración predeterminada del nivel de seguridad se cambió a alto El nivel de seguridad predeterminado para los applets de Java y las aplicaciones de inicio web se ha aumentado de "Medio" a "Alto". Esto afecta a las condiciones en las que se pueden ejecutar las aplicaciones web Java sin firmar (espacio aislado). Anteriormente, siempre que tuviera la última versión segura de Java, los applets instalados y las aplicaciones de inicio web seguirían ejecutándose como siempre. Con la configuración "Alta", siempre se advierte al usuario antes de que se ejecute cualquier aplicación sin firma para evitar una explotación silenciosa.

Entonces, suponiendo que no haya errores en el código de verificación de firmas que le permitan solucionar esto, en realidad 7u11 con una buena dosis de educación para el usuario podría permanecer seguro siempre que los atacantes no puedan obtener un certificado válido para firmar su exploit con . Específicamente, el código sin firmar aparecerá con un diálogo "este código no es de confianza" un poco como lo hace UAC.

Esto, combinado con algo como NoScript para bloquear la carga inicial de estos objetos, debería significar que los usuarios al menos deben hacer clic una vez antes de que se active un exploit.

Esto es bueno, y espero que también se aplique a cualquier vulnerabilidad futura.

Mi comprensión de la situación de explotación se toma de esta entrada de blog . La vulnerabilidad que permitía sobrescribir el securityManager se ha corregido, pero la vulnerabilidad que permitía a un usuario final obtener nombres de clase a través de Reflection que normalmente no estaría disponible debido a la política de seguridad no se ha corregido.

Finalmente, como un aparte, experimenté con la vulnerabilidad en OpenJDK y descubrí que este problema parece no estar presente allí; obtengo una excepción "La clase MBean no se pudo cargar" (Reflexión no funciona).

score 0 · Answer 2

De hecho, puede ser lo suficientemente seguro como para volver a Java6; aunque con la historia de Java en muchas de sus versiones, personalmente nunca volveré a confiar en ninguna versión.

Sin embargo, me pregunto qué está impulsando tu pregunta; ¿Tiene una necesidad específica basada en navegador para que Java esté habilitado? Generalmente, puede deshabilitar Java en los navegadores que usa (ya que es donde generalmente se explota) y dejar Java7 en la PC para los programas que lo requieran; ya que es mucho menos un objetivo específico cuando ya no es accesible a través de un complemento del navegador.

score 0 · Answer 3

Dudo que alguien pueda darte una respuesta autorizada ... pero mi reacción intestinal dice que seguir con Java 7 me parece que es probablemente más seguro.

En este momento, Java 7 requiere que hagas clic en un applet antes de que comience a ejecutarse. En contraste, con Java 6, el applet podría ejecutarse sin requerir un clic del usuario. Por lo tanto, atacar a Java 7 hoy requiere encontrar una vulnerabilidad y montar un poco de ingeniería social para que el usuario haga clic en usted. Por supuesto, la parte de ingeniería social no es una barrera muy alta, pero creo que vale algo .