Java suele utilizarse en el entorno de los navegadores a modo de plugin. Es importante para el usuario que conozca las características que posee en cuanto a la configuración de sus niveles de seguridad.
Durante el último tiempo se han descubierto diversas vulnerabilidades sobre Java. Tal es el caso de la aparición del exploit 0-day utilizado masivamente por exploits kits. También se han visto infecciones a través de Java donde algunos de ellos ocurren a través de applets.
Los applets son ejecutados por la máquina virtual de Java y su ejecución se mantiene dentro de lo que se llama “Sandbox”. Sin embargo existen situaciones donde la ejecución de los applets sale de la sandbox y en esa caso puede realizar cualquier tarea sobre el sistema respetando los permisos con los que cuenta en esa instancia.
A partir de la versión de Java 7 Update 10 se introdujeron nuevos niveles de seguridad. Básicamente, la seguridad reside en prevenir la ejecución de applets dañinos que puedan eludir la ejecución en la sandbox.
Existen cuatro opciones en cuanto a la configuración de los niveles de seguridad. En el nivel “bajo” los applets no firmados se ejecutan de forma automática y solo se pregunta si el propio applet intenta obtener recursos del sistema protegidos o intenta ejecutarse sobre una versión antigua. En el nivel "medio" los applets no firmados se ejecutarán solo en el caso de que se cuente con la última versión. En nivel alto siempre se solicita autorización al usuario cuando el applet que se desea ejecutar no está firmado. Finalmente, la opción de “muy alto” es la más segura. Esta opción no autoriza la ejecución de ningún tipo de applet no firmado.
Ajustar los niveles de seguridad de Java le permitirá al usuario poder evaluar la ejecución de cualquier applet que no esté firmado por una entidad de confianza. Por defecto, la configuración de Java se encuentra establecida en “Alto”. Es recomendable utilizar la configuración “más alto” para tener control sobre todas las ejecuciones de applets. Asimismo, para aquellos usuarios que no requieran Java, es posible desactivarlo. Para realizar tal tarea pueden leer nuestro post ¿cómo desactivar Java de nuestro navegador?.
Para modificar el nivel de seguridad de Java, se debe ingresar al panel del control del sistema y luego entrar al panel de control de Java. Una vez allí, ingresar a la pestaña de seguridad y allí modificar el nivel de seguridad a “muy alto”. A continuación puede observarse una captura de la ventana de configuración:
Otro factor a tener en cuenta es que Java permite mantener más de una versión instalada a la vez dentro de un mismo sistema operativo. A continuación, puede observarse una captura que muestra dos versiones diferentes de Java:
Por eso, es recomendable desinstalar versiones antiguas para evitar que applets maliciosos se ejecuten utilizando dichas versiones. Asimismo, en la medida de lo posible se debe actualizar siempre la aplicación a la versión más reciente, ya que esta soluciona vulnerabilidades descubiertas en versiones anteriores.
Fernando Catoira
Analista de Seguridad