• Registrarse
  • Iniciar sesión


  • Página 3 de 4 PrimeroPrimero 1234 ÚltimoÚltimo
    Resultados 21 al 30 de 33

    Java 7 Update 25

    osea que y con esta actualizacion sigue siendo vulnerable el Java? entonces lo voy a deshabilitar del navegador otra ves ......

          
    1. #21
      Usuario Avatar de stevenz
      Registrado
      dic 2011
      Ubicación
      España
      Mensajes
      396

      Re: Java 7 Update 25 - Actualización Disponible

      osea que y con esta actualizacion sigue siendo vulnerable el Java? entonces lo voy a deshabilitar del navegador otra ves ...

    2. #22
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por stevenz Ver Mensaje
      osea que y con esta actualizacion sigue siendo vulnerable el Java? entonces lo voy a deshabilitar del navegador otra ves ...
      Las actualizaciones son para tapar los agujeros conocidos, pero no los 0Day que no se conocen.

      Si te es sumamente necesario tener activado JAVA en tu navegador, te recomendamos seguir Nuestras recomendaciones con JAVA y activarlo solo en uno, protegerlo con NoSript y proteger tu equipo con Malwarebytes Anti-Exploit.




      Java esta todavía lleno de potenciales agujeros de seguridad y es sólo una cuestión de tiempo hasta que nos enteramos de un nueva vulnerabilidad 0-Day...



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #23
      Usuario Avatar de stevenz
      Registrado
      dic 2011
      Ubicación
      España
      Mensajes
      396

      Re: Java 7 Update 25 - Actualización Disponible

      es mejor desactivarlo en los navegadores ... igual con esta actualizacion es bastante vulnerable :(

    4. #24
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por Jctecn1cal Ver Mensaje
      Yo lo uso por Jdownloader. Hace mucho vi un tema en Kioskea
      Windows 7 y Vista: No puedo copiar - pegar

      Segun ellos. Es muy probable que esto se deba a un problema con la gestión de derechos de acceso del Applet
      Cada vez que veo la palabra Applet me acuerdo a que esta muy relacionada al lenguaje POO (Programación Orientada a Objetos) Java

      La solución al problema parece ser instalar Java y configurar la Consola de Java


      Aquí no se trata de un problema con el navegador, ni problemas con Jdownloader, OpenOffice y programas basados en Java Esto es algo que párece ser una función del propio Windows.

      Entonces ¿Cuantas applets no estaran siendo usadas por Windows 7 y ahora por Windows 8? cuya funcionalidades se vean afectadas al desinstalar Java del equipo.

      Nos preocupamos por las vulnerabilidades asociadas a los navegadores, pero no sabemos con certeza cuanto contenido Java esta manejando Windows de una manera más "nativa" y sea primordial para el rendimiento y correcto funcionamiento del sistema.
      Este último punto es el que me hace pensar que tan factible o recomendable sea desinstalar Java del equipo.

      Saludos
      Eso no tiene nada que ver, las aplicaciones locales como Jdownloader y mucho menos Windoes es el problema.

      Acá se están confundiendo dos cosas: el lenguaje Java con el plugin de navegadores de Java.

      Una aplicación de Java como Jdownloader tiene privilegios totales de usuario en Windows o en cualquier sistema operativo, por lo cual los mayores problemas que se pueden encontrar serian que el mismo programa venga ya con un backdoor o que se encuentre una vulnerabilidad en el manejador de por ejemplo carga de urls o de archivos de descarga, no nos infectaremos por tenerlas instaladas.

      Es mas, una aplicación de Java tiende a ser mas segura que una hecha en un lenguaje como C++, que es propensa a vulnerabilidades como Buffer Overflow, Run after free o Integer Overflow (debido a que es un lenguaje a más bajo nivel). Aplicaciones hechas en Java o lenguajes como C#, Python, etc, deberían ser menos propensas gracias a que el programador de abstrae de conceptos como la liberación de memoria o manejo de punteros.

      El problema de Java surge del famoso plugin para los navegadores, y para entender las vulnerabilidades primero hay que entender como funciona:

      Los navegadores corren un plugin de Java, el cual corre programas hechos en este lenguaje. Este plugin lo que hace es permitir ejecutar codigo Java dentro del navegador, es decir ejecutar programas de esta plataforma con el Java Runtime Environment correspondiente dentro del browser. Pero este mismo, por seguridad, los applets de Java (los que se ejecutan normalmente en el navegador) corren en un sandbox, de manera tal que por defecto el código del applet no tenga acceso a datos del ordenador, si no simplemente de navegación, a menos que brindemos los privilegios para salir del sandbox pulsando el botón Permitir Todo en un PopUp de elevación de privilegios. Por defecto las aplicaciones locales como JDownloader o OpenOffice no corren sobre este sandbox (ya que no son applets si no aplicaciones locales).

      Las vulnerabilidades encontradas últimamente permite ejecutar código privilegiado, es decir que no debería ejecutarse dentro del sandbox, sin previa autorización del usuario. Esto lo realizan explotando vulnerabilidades del JRE, teniendo como efecto que los usuarios que corren el plugin son infectados sencillamente al entrar a una pagina con un applet que esta desarrollado para instalar una puerta trasera en el sistema.

      Por eso es que si desactivamos el plugin en el navegador, no existira puente entre este y el JRE, por lo cual la explotacion de la vulnerabilidad a traves del navegador se vuelve imposible.

      De todas maneras, navegadores como Google Chrome o Firefox advierten al usuario que poseen una versión de Java desactualizada y hasta obligan a los usuarios a actualizar la version de Java, por lo cual actualmente los usuarios de estos navegadores estan advertidos tanto como por el browser como por el JRE.

      Y Windows tampoco es el problema, ya que una vulnerabilidad de Java al ser multiplataforma puede llegar a funcionar en cada version de Java para cada sistema operativo. Es decir que podria infectar un sistema Linux con una vulnerabilidad de Java la cual tambien sirve para Windows. Obviamente, esto no suele encontrarse ya que lo que se busca es atacar masivamente, y lo mas comun para los atacantes es atacar los entornos Windows que son mucho mas abundantes y los usuarios menos entrenados.

      Cabe aclarar que si se encontrara una vulnerabilidad en el navegador o en algun otro plugin (como Flash, que todo el mundo lo tiene instalado) correriamos el mismo peligro, por lo tanto deshabilitar Java no nos garantiza la seguridad absoluta.

      De todas maneras deberia transmitirse que tener Java instalado no es malo ni nada de eso, si no tener en cuenta estas aplicaciones como Jdownloader o OpenOffice no nos infectaran asi nada mas, y solo advertir en cuanto al plugin de navegacion.


      Muchos saludos
      Linux User Registered #451400

    5. #25
      Usuario Habitual Avatar de Jctecn1cal
      Registrado
      ago 2007
      Ubicación
      Puebla. México
      Mensajes
      1.988

      Re: Java 7 Update 25 - Actualización Disponible

      Hola Hardrive

      Gracias por la aclaración amigo. Ya estoy entendiendo por donde van más o menos las cosas.

      He instalado Windows 7 a otro equipo y he decidido no instalar Java solo para experimentar y ver hasta que punto puedo llegar sin el.

      Veremos si algún navegador no lo agrega por su cuenta. Después de todo lo que me has explicado ¿Tampoco crees que desinstalar Java sea una solución al problema?

      Saludos
      "Desde arribo miro la piramide e imagino su interior en busca de la solución"

    6. #26
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por Jctecn1cal Ver Mensaje
      Hola Hardrive

      Gracias por la aclaración amigo. Ya estoy entendiendo por donde van más o menos las cosas.

      He instalado Windows 7 a otro equipo y he decidido no instalar Java solo para experimentar y ver hasta que punto puedo llegar sin el.

      Veremos si algún navegador no lo agrega por su cuenta. Después de todo lo que me has explicado ¿Tampoco crees que desinstalar Java sea una solución al problema?

      Saludos
      Lo que yo recomendaria en estas epocas actuales hasta que Java y el sandbox este más seguro, sería instalar Java pero deshabilitar el plugin en los navegadores. Obviamente la actualizacion es imprescindible.

      Otra alternativa que puede ser, es utilizar alguna herramienta de sandox externa, como por ejemplo Sandboxie o las que vienen con los antivirus, cuando necesariamente queramos navegar en una pagina con un applet Java. De esta manera tendremos una barrera extra que de seguro sirve bastante. Aunque esto es solo una idea que se me ha ocurrido recien, por lo cual habria que chequear si esto es posible sin mayores inconvenientes y si es necesaria una configuracion especial.

      Ya si quieres una seguridad extrema, una maquina virtual no viene nada mal, aunque claro, es poco practico.


      Saludos
      Linux User Registered #451400

    7. #27
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por Jctecn1cal Ver Mensaje
      ¿Tampoco crees que desinstalar Java sea una solución al problema?
      Si desinstalas JAVA, pero dejas los plugins de los navegadores, no sirve de nada , ya que como bien comenta el compañero @Hardrive y explicamos en la guía que hasta el titulo lo dice: Cómo deshabilitar Java de todos los navegadores? ósea de los navegadores que son la puerta a las posibles infecciones.

      Y quienes necesiten tener JAVA en tu navegador para determinado sitio web, pueden seguir Nuestras recomendaciones con JAVA y activarlo solo en uno, protegerlo con NoSript y proteger tu equipo con Malwarebytes Anti-Exploit.



      Salu2



      Java esta todavía lleno de potenciales agujeros de seguridad y es sólo una cuestión de tiempo hasta que nos enteramos de un nueva vulnerabilidad 0-Day...
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #28
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por ElPiedra Ver Mensaje
      Si desinstalas JAVA, pero dejas los plugins de los navegadores, no sirve de nada , ya que como bien comenta el compañero @Hardrive y explicamos en la guía que hasta el titulo lo dice: Cómo deshabilitar Java de todos los navegadores? ósea de los navegadores que son la puerta a las posibles infecciones.
      En realidad si desinstalas Java, los plugins de los navegadores dejaran de funcionar, ya que estos mismos hacen uso de la versión instalada de Java en el sistema. Por lo tanto, si desinstalas Java, o los plugins de desinstalarán o dejaran de funcionar.

      De todas maneras me sigo pareciendo que la mejor solución es no ejecutar Java (ya sea deshabilitando Java o lo que fuese) y, de ser necesario, ejecutarlo únicamente con algún programa de sandbox como SandBoxie. Soluciones como MalwareBytes AntiExploit suelen resultar no muy difíciles de bypassear y tienen la batalla perdida contra las tecnologías de sandbox y virtualizacion.
      Linux User Registered #451400

    9. #29
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por Hardrive Ver Mensaje
      En realidad si desinstalas Java, los plugins de los navegadores dejaran de funcionar, ya que estos mismos hacen uso de la versión instalada de Java en el sistema. Por lo tanto, si desinstalas Java, o los plugins de desinstalarán o dejaran de funcionar.
      Efectivamente, esto lo han corregido en las versiones más nuevas, ya que antes hasta te quedaba la versión vieja entera y podías tener varios programas JAVA instalados. Ya desde la versión 7 que corrigieron eso y que saque también los plugins.



      Cita Originalmente publicado por Hardrive Ver Mensaje
      De todas maneras me sigo pareciendo que la mejor solución es no ejecutar Java (ya sea deshabilitando Java o lo que fuese) y, de ser necesario, ejecutarlo únicamente con algún programa de sandbox como SandBoxie.
      Si necesariamente tienes un programa o juego que necesite JAVA en tu escritorio lo vas a tener que utilizar y esto como ya hemos explicado en varias oportunidades no representa ningún riesgo para el equipo en cuanto a infecciones de malwares ya que esta no sería una vía de entrada como si lo seria por el navegador.

      Por ejemplo, si visitamos un sitio web comprometido para infectar a los usuarios que visiten el sitio (drive-by-download) aprovechándose de algún agujero en JAVA en su navegador, si no lo tenemos activo en nuestro navegador, este no nos va a infectar aunque tengamos el programa JAVA instalado en el equipo para poder usar JDownloader.


      Cita Originalmente publicado por Hardrive Ver Mensaje
      Soluciones como MalwareBytes AntiExploit suelen resultar no muy difíciles de bypassear y tienen la batalla perdida contra las tecnologías de sandbox y virtualizacion.
      Tenes alguna prueba de concepto o algo para justificar que es fácil o al menos posible byapassear ??

      MBAE es una tecnología nueva que justamente viene a proteger lo que los Antivirus tradicionales no están pudiendo hacer frente a los exploits conocidos y aun los desconocidos (0Day). Hasta ahora viene teniendo excelentes resultados en cumplir con la protección que promete.

      Tampoco pretende ser una competencia para el Sandbox, ni el Firewall, ni el mismo Antivirus, los cuales todos se pueden llegar a saltear, sino que es un complemento más a sumarle.



      La seguridad informática total y absoluta no existe... pero podemos implementar varias medidas preventivas para poder reducir (no eliminar) el riesgo de que nuestro ordenador resulte infectado por algún código malicioso.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #30
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Java 7 Update 25 - Actualización Disponible

      Cita Originalmente publicado por ElPiedra Ver Mensaje

      Si necesariamente tienes un programa o juego que necesite JAVA en tu escritorio lo vas a tener que utilizar y esto como ya hemos explicado en varias oportunidades no representa ningún riesgo para el equipo en cuanto a infecciones de malwares ya que esta no sería una vía de entrada como si lo seria por el navegador.

      Por ejemplo, si visitamos un sitio web comprometido para infectar a los usuarios que visiten el sitio (drive-by-download) aprovechándose de algún agujero en JAVA en su navegador, si no lo tenemos activo en nuestro navegador, este no nos va a infectar aunque tengamos el programa JAVA instalado en el equipo para poder usar JDownloader.
      Eso ya lo habia aclarado yo mismo anteriormente. Me refereria a desactivar Java del navegador, en todo caso hubiese dicho "desinstalar" mas que deshabilitar.


      Cita Originalmente publicado por ElPiedra Ver Mensaje
      Tenes alguna prueba de concepto o algo para justificar que es fácil o al menos posible byapassear ??

      MBAE es una tecnología nueva que justamente viene a proteger lo que los Antivirus tradicionales no están pudiendo hacer frente a los exploits conocidos y aun los desconocidos (0Day). Hasta ahora viene teniendo excelentes resultados en cumplir con la protección que promete.

      Tampoco pretende ser una competencia para el Sandbox, ni el Firewall, ni el mismo Antivirus, los cuales todos se pueden llegar a saltear, sino que es un complemento más a sumarle.
      Si bien no tengo ninguna prueba de concepto, todas estas tecnologías se basan siempre en la misma idea, en la de establecer hooks en el sistema para filtrar el punto de acceso de ciertos ejecutables a ciertas system calls del sistema operativo, ya sea bloqueandolas si son llamadas desde X proceso o realiza Y acción. Generalmente con solo encontrar una system call que no este hookeada o disfrazando la system call para que parezca ser llamada por un proceso que no este en la blacklist, es suficiente para bypassear estas protecciones.

      Por cierto, aqui en InsanityBit hay una excelente review que he leído sobre este programa, muy técnica tanto como sincera. Comparto opinión:
      ExploitShield - Smart AntiExecutable - InsanityBit

      Me gustaría aclarar que para nada creo que sea una mala protección, pero creo que utilizar herramientas de sandboxing son técnicas menos falibes que este tipo de protecciones. Básicamente porque para saltarse estas protecciones suelen necesitarse explotar un conjunto de vulnerabilidades muchísimo mas complejas mientras que estas otras tecnologias de proteccion con encontrar un punto debil ya alcanza. Y no creo que la herramienta no de resultados, solo estoy comentando lo que en mi opinión me parece la mejor alternativa.

      Sigamos esta analogía:

      Eres un guardia se zoológico que estas encargado de cuidar a un León. Tú no sabes si el León es bueno o malo, por lo cual puedes elegir entre dos alternativas para protegerte:

      1. Intentas defenderte del León a Espada y Escudo, para que no te haga daño.
      2. Pones el León en una jaula, y lo dejas hacer lo que quiera.


      Pues este es el mismo caso, las tecnologías de SandBox no se basan en querer protegernos intentando bloquear todas las acciones posibles de un ejecutable (donde es imposible considerar todas las alternativas), si no que lo dejan hacer todo lo que se les plazca en un entorno aislado de nuestro verdadero sistema operativo. No por algo el gigante de Google inviertió millones de dólares en una tecnología como Google Sandbox para Google Chrome, y no por nada este mismo está considerado el navegador Web más seguro entre los expertos en seguridad.

      Claro, nada es 100% seguro, trabajo hace ya unos añitos en seguridad informática y eso se los puedo asegurar. Pero por eso no hay que dejar de considerar y debatir sobre cuales son las alternativas más seguras.


      Saludos
      Linux User Registered #451400