Seguridad

Por qué Java es un riesgo de seguridad menor ahora en Windows, Mac y Linux

Por qué Java es un riesgo de seguridad menor ahora en Windows, Mac y Linux / Seguridad

Java, que alguna vez fue un componente vital de la web, ha perdido popularidad en los últimos años. La mayoría de los navegadores modernos bloquean Java por defecto, y la mayoría de los usuarios domésticos ya no necesitan instalarlo.

Hace mucho tiempo que escuchamos que Java es la pieza de software más insegura para las computadoras de escritorio, especialmente para Windows. ¿Pero es esto todavía cierto? Vamos a profundizar y descubrir.

Los problemas históricos con Java

La razón principal por la que Java se ha convertido en un objetivo tan popular para los ataques es su extensión. Debido a que Java fue diseñado para una máxima compatibilidad, se ejecuta en una gran cantidad de dispositivos. Además de las computadoras, los reproductores de Blu-ray Java, impresoras, sistemas de pago de estacionamiento, dispositivos de lotería y mucho más. Es lo opuesto a la seguridad a través de la oscuridad: una plataforma importante proporciona la mejor recompensa por un ataque.

Por supuesto, estamos preocupados con Java en el escritorio. Y allí, la peor ofensa es que Java no se actualiza automáticamente. A diferencia de la mayoría de los otros programas modernos, Java simplemente le pide al usuario que instale actualizaciones cuando estén disponibles. Lo que es peor, por defecto, Java solo busca actualizaciones una vez a la semana o incluso una vez al mes. Eso es peligroso para una aplicación con tantas vulnerabilidades de seguridad..

Muchas personas ven el mensaje de actualización y lo ignoran, lo que hace que ejecuten una versión desactualizada de Java. Y con las nuevas versiones que se ofrecen regularmente, incluso aquellos que instalan algunas actualizaciones pueden frustrarse e ignorar otras. En algunos casos, incluso cuando los usuarios instalan una nueva versión, también dejan instalada la copia antigua de Java. Esto amplía su vulnerabilidad al ataque..

Por supuesto, no podemos olvidar la larga saga de Java de incluir la terrible barra de herramientas Ask. Cada vez que instalabas o actualizabas Java, tenías que recordar desmarcar una casilla o incluiría esa pieza de basura. Si bien no es una hazaña, esto dejó un mal sabor en la boca de los usuarios..

Java cumple 22 años hoy.

Deberíamos enviar un pastel a Oracle con la barra de herramientas Ask en él..

- Tim Barrett (@timbarrett) 24 de enero de 2018

Java moderna

Así que eso era lo que estaba mal con Java en el pasado, pero ¿qué hay de recientemente??

En octubre de 2017, Veracode descubrió que el 88 por ciento de las aplicaciones Java contienen al menos un componente vulnerable. A principios de 2016, Oracle anunció que incluso el instalador de Java era vulnerable. Si un atacante colocara un archivo DLL con un nombre específico en su carpeta de Descargas, provocaría una infección cuando ejecutara el instalador de Java. Y, en general, debido a la popularidad de Java, solo tendría que visitar un sitio web comprometido que aprovechó su copia obsoleta de Java para infectarse.

Si bien esto significa que Java está lejos de ser seguro, también hay buenas noticias. A principios de 2016, Oracle anunció que planea dejar de usar el complemento del navegador Java (que es la fuente de la mayoría de los problemas) en JDK 9, que ya está disponible. Los navegadores modernos también han dejado atrás Java. Chrome eliminó el soporte para Java a finales de 2015, y Firefox dejó de admitirlo a principios de 2017. El navegador Edge de Microsoft, incluido con Windows 10, no admite Java en absoluto.

Esto significa que si realmente necesita usar Java en un navegador, tendrá que quedarse con Internet Explorer.

Las mayores vulnerabilidades

Ya que Java está perdiendo popularidad, lo que toma su lugar como el software de escritorio más inseguro?

Los últimos datos de Flexera, desde el primer trimestre de 2017, revelan que el 7.8% de los programas en las PC promedio han llegado al final de su vida útil. Se ubica entre los 10 programas más expuestos, según la cuota de mercado multiplicada por el porcentaje de usuarios que no están parchados:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle para PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud para Windows 6.x

Esta lista puede sorprenderte. Si bien Java no es el programa más riesgoso, sigue siendo el segundo. Otros programas que normalmente no asociamos con riesgos de seguridad, como VLC y Malwarebytes, también tienen un lugar. Esto ilustra la importancia de mantener actualizado todo el software. 4 Aplicaciones de Windows para mantenerse actualizadas en todo momento. 4 Aplicaciones de Windows para mantenerse actualizadas en todo momento. . Le mostramos cómo mantener actualizados Windows, navegadores, herramientas antivirus y otras aplicaciones. Leer más, no solo los populares.

Podemos ver más al examinar el informe de seguridad del tercer trimestre de 2017 de Avast. Enumera los 10 programas más desactualizados en las PC de sus usuarios:

  1. Java 6, 7 y 8
  2. Adobe AIR
  3. Adobe Shockwave
  4. Reproductor de multimedia VLC
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Tiempo rapido
  10. Adobe Flash Player

Cuando incluye las versiones anteriores, parece que Java aún encabeza el software menos actualizado. Los complementos de Adobe también son grandes culpables, y vemos que iTunes y VLC también hicieron esta lista.

A la inversa, según TechRadar, Chrome se destaca en la parte superior de las aplicaciones actualizadas. Cuando se realizó una encuesta, el 88% de los usuarios que ejecutaban Chrome tenían la última versión instalada. Esto muestra cómo las actualizaciones automáticas silenciosas hacen una gran diferencia, en comparación con las molestas solicitudes de actualización utilizadas por los tiempos de ejecución de Java y Adobe.

No olvides también las actualizaciones del sistema operativo

Otro componente vital de la actualización para recordar es las actualizaciones del sistema operativo. Recuerde que los usuarios que tenían instaladas actualizaciones automáticas se salvaron del terrible ataque de ransomware a mediados de 2017 El ataque global de ransomware y cómo proteger sus datos El ataque global de ransomware y cómo proteger sus datos Un ataque cibernético masivo ha afectado a las computadoras de todo el mundo. ¿Te ha afectado el ransomware altamente virulento y autorreplicante? Si no es así, ¿cómo puede proteger sus datos sin pagar el rescate? Lee mas . Incluso si mantiene actualizado el software como Java, su computadora todavía está en riesgo si no instala las actualizaciones de Windows.

Windows 10 hace que estas actualizaciones automáticas sean más fáciles. Pros y contras de las actualizaciones forzadas en Windows 10 Pros y contras de las actualizaciones forzadas en Windows 10 Las actualizaciones cambiarán en Windows 10. Ahora mismo puede elegir y elegir. Windows 10, sin embargo, forzará actualizaciones sobre ti. Tiene ventajas, como seguridad mejorada, pero también puede salir mal. Lo que es más ... Leer más, pero aquellos en Windows 7 podrían haberlos desactivado. Y los que siguen usando Windows XP casi cuatro años después de su finalización de la vida se ponen en mayor riesgo 7 maneras en que Windows 10 es más seguro que Windows XP 7 formas en que Windows 10 es más seguro que en Windows XP Incluso si no te gusta Windows 10, ya deberías haber migrado de Windows XP. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. Lee mas .

¿Qué tan peligroso es Java, realmente?

En conjunto, ¿podemos decir que Java es el mayor riesgo de seguridad para los equipos de escritorio? Realmente no. En el lado negativo, las personas aún continúan ejecutando versiones obsoletas de Java a pesar de que realmente no lo necesitan. Esto los abre a vulnerabilidades de seguridad. Sin embargo, como la mayoría de los navegadores ya no soportan Java, no están abiertos para atacar como antes..

El vínculo débil en la seguridad de su computadora proviene de la pieza de software más popular que no mantiene actualizada. Si tiene la versión más reciente de Java pero aún no ha desinstalado el QuickTime para Windows no compatible, es un gran riesgo. Tener una versión desactualizada de Flash, Adobe Reader o iTunes podría abrirte para atacar también.

Estado de ánimo actual: rechazar una actualización de software durante 18 meses y ahora la herramienta para descargar está desactualizada

- polillas (@ 13_moths) 12 de febrero de 2018

Podemos deducir de los datos anteriores que los programas sin actualizaciones automáticas suelen ser los menos seguros. Por ejemplo, iTunes constantemente le pide a los usuarios que actualicen, lo que es molesto. 7 Los programadores de Stupid Things Do That Drive Los usuarios de Crazy 7 Stupid Things Los que hacen que los usuarios de Drive Crazy Programmers a menudo toman decisiones estúpidas que conducen a molestias para los usuarios. Aquí hay varias peculiaridades de diseño que vuelven locas a las personas. Lee mas . Esto lleva a las personas a ignorar las actualizaciones y dejar una versión insegura instalada.

¿Qué pasa con Mac y Linux??

Nos hemos centrado en Java para Windows anteriormente, pero vale la pena mencionar rápidamente cómo esto afecta a los usuarios de Mac y Linux también.

Sorprendentemente, si bien Apple no permite que los complementos se ejecuten de forma predeterminada en Safari, el navegador aún admite los complementos antiguos como Java y Silverlight. Si bien debería desinstalar Java en su Mac a menos que lo necesite por una razón específica, Java no ha causado tantos problemas para los usuarios de Mac como lo ha hecho en Windows. Últimamente, la mayoría de los agujeros de seguridad en macOS han sido gracias a descuidos por parte de Apple..

Necesito instalar NetBeans para algo. La versión para Mac se envía como un paquete de instalación (!), Que era una bandera roja. Pero entonces quería que instale Java ...

No No, no, no. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Culo sediento Ho (@_nulldragon) 8 de febrero de 2018

Linux tampoco ha visto ninguna vulnerabilidad única de Java. Si necesita un navegador que admita Java en Linux, puede probar la versión ESR (versión de soporte ampliado) de Firefox. Firefox proporciona esta versión para entornos empresariales; proporciona las últimas actualizaciones de seguridad, pero espera más tiempo para implementar actualizaciones de funciones. La versión actual, 52, es compatible con Java y otros complementos heredados estarán disponibles hasta algún momento en el segundo trimestre de 2018.

Un futuro sin plugin

La buena noticia es que no necesita la mayoría de estos complementos potencialmente peligrosos y molestos. Think Flash ¿Es el único complemento inseguro? Think Again Think Flash es el único complemento inseguro? Think Again Flash no es el único complemento del navegador que presenta un riesgo para su privacidad y seguridad en línea. Aquí hay tres complementos más que probablemente haya instalado en su navegador, pero que debería desinstalar hoy. Leer más instalado más. Muy pocos sitios web utilizan Java, y el principal programa que la gente mantuvo instalado en Java para Minecraft incluye una versión segura de Java ahora. Cómo instalar la versión completa de Minecraft en una PC con Linux Cómo instalar la versión completa de Minecraft en un Linux PC Minecraft es uno de los juegos más grandes del mundo y se ejecuta en prácticamente todas las plataformas. ¿Quiere que funcione en su computadora Linux? Te mostraremos cómo. Lee mas . Otros complementos tampoco son necesarios. Microsoft dejó de usar Silverlight hace años, y le resultaría difícil encontrar un sitio con contenido de Shockwave.

Flash es la única excepción Die Flash Die: la historia en curso de las empresas tecnológicas que intentan matar Flash Flash Die: la historia en curso de las empresas tecnológicas que intentan matar Flash Flash ha estado en declive durante mucho tiempo, pero ¿cuándo morirá? Lee mas . La mayoría de los navegadores aún lo admiten debido a su popularidad, pero Adobe lo eliminará en 2020. Hasta entonces, asegúrese de actualizar Flash en su PC. Chrome lo hace automáticamente, por lo que es posible que ni siquiera lo tengas instalado (lo cual es genial).

En resumen: Java sigue siendo inseguro pero representa un riesgo menor gracias a que los navegadores lo deshabilitan. Debe desinstalar los programas que no necesita (incluidos los complementos antiguos), mantener actualizado el software en su computadora Cómo asegurarse de que todos sus programas estén actualizados Cómo garantizar que todos sus programas estén actualizados Manteniendo su información actualizada el software actualizado puede ser una tarea ardua, ¿por qué no permitir que FileHippo encuentre actualizaciones para todos sus programas obsoletos? Leer más, y aplicar las actualizaciones del sistema operativo. Si haces esto, estarás acomodado..

¿Todavía tienes Java y otros plugins heredados instalados? Si es así, ¿para qué los necesitas? Da tu opinión sobre Java a continuación!

Crédito de la imagen: avemario / Depositphotos

Explorar más sobre: ​​Seguridad informática, Java.