Nueva vulnerabilidad “zero-day” en Java

Una vulnerabilidad “zero-day” no resuelta, encontrada en la última versión de Java, está siendo aprovechada de forma masiva.

El tema es de tal calado que desde diversas instancias se aconseja desactivar o desinstalar Java, o los plugin existentes para navegadores, hasta que Oracle no proporcione un parche que solucione el problema, que afecta a Java 7 Update 10 y versiones anteriores.

El fallo de seguridad permite instalar y ejecutar software sin consentimiento del usuario, con el propósito de robar indentidad, participar de forma involuntaria en una bootnet que podría provocar la caída de redes o ser utilizada para llevar a cabo ataques de negación de servicio y ser víctimas del denominado “ransonware“.

El agujero de seguridad ha sido encontrado por el investigador independiente @kafeine, que notificó el hecho a la firma especializada en seguridad AlienVault, que ha confirmado la existencia del problema. Desde entonces, varios especialistas, el CERT (The US Computer Emergency Readiness Team) y el Departamento de Seguridad Nacional de Estados Unidos advierten a los usuarios que es mejor no tener Java habilitado.

Por su parte Apple ha incluido el plugin de Java para OS X en su lista negra. Ayer a última hora Mozilla aprovechaba la ocasión para recomendar el uso de click-to-play en Firefox.

Para saber más: http://thenextweb.com/insider/2013/01/10/new-java-vulnerability-is-being-exploited-in-the-wild-disabling-java-is-currently-your-only-option/

Java API Collections: Diferencias y recomendaciones de uso

En esta completa matriz creada por George Janeve podemos ver las diferencias de cada uno de los elementos del API Collections y una recomendación sobre su uso.

Matriz completa