Tod Beardsley, Ingeniero en Rapid7, dijo: "Los usuarios deberían deshabilitar los plug-ins de Java para los navegadores.
A diferencia de
Flash HTML5inclus PDF, no es
la tecnología
omnipresente
en la Web ...
Deshabilitar
la funcionalidad
siempre es un buen consej - Asíse reduce
la posibilidad de ataque
Tal consejo puede ser muy útil para los usuarios finales, pero no para las empresas debido a que u
A number of common business applications such as conferencing and collaboration rely on the Java runtime, and some data center applications run on Java, says Scott Crawford, managing research director at industry analyst firm Enterprise Management Associates."
na
 serie de aplicaciones empresariales comunes, como las
conferencias y la colaboración se basan en el tiempo de ejecución de
Java, y algunas aplicaciones de centros de datos se ejecutan en Java,
dice Scott Crawford, director de investigación de la firma analista de
la industria Asociados Enterprise Management.
A number of common business applications such as conferencing and collaboration rely on the Java runtime, and some data center applications run on Java, says Scott Crawford, managing research director at industry analyst firm Enterprise Management Associates."
That wasn't the case a few years ago."
Ese no era el caso hace algunos años.
Wolfgang Kandek, CTO of Qualys, says Web browsers used to be a prime target for attackers until browser makers developed better security defenses."
Wolfgang
 Kandek, CTO de Qualys, dice que los navegadores web solían ser un objetivo
prioritario para los atacantes hasta que los fabricantes de navegadores
desarrollaron mejores defensas de seguridad.
Attackers shifted their attention to other software such as Flash and PDF, but now Adobe has put a lot of resources into hardening its products."
Los
 atacantes cambiaron su atención a otros programas como Flash y PDF,
pero Adobe ha puesto una gran cantidad de recursos en el fortalecimiento de sus productos.
Now it appears Java is in the crosshairs."
Ahora parece que Java está en la mira.
A number of common business applications such as conferencing and collaboration rely on the Java runtime, and some data center applications run on Java, says Scott Crawford, managing research director at industry analyst firm Enterprise Management Associates."
Hill sees many organizations that are phasing out dependencies on Java applets."
SystemsExperts' Hill ve muchas organizaciones que están eliminando las dependencias de applets de Java.
"Now people are developing rich Web applications using Ajax techniques so Java is on the server and not executing on the client," he says."
"Ahora
 la gente está desarrollando aplicaciones web enriquecidas con técnicas
Ajax para Java que se ejecutan en el servidor y no en el lado del cliente", dice.
A number of common business applications such as conferencing and collaboration rely on the Java runtime, and some data center applications run on Java, says Scott Crawford, managing research director at industry analyst firm Enterprise Management Associates."
"Now people are developing rich Web applications using Ajax techniques so Java is on the server and not executing on the client," he says."
¿Cómo se puede asegurar Java?
A number of common business applications such as conferencing and collaboration rely on the Java runtime, and some data center applications run on Java, says Scott Crawford, managing research director at industry analyst firm Enterprise Management Associates."
"Now people are developing rich Web applications using Ajax techniques so Java is on the server and not executing on the client," he says."
Unos pocos antecedentes.
A number of common business applications such as conferencing and collaboration rely on the Java runtime, and some data center applications run on Java, says Scott Crawford, managing research director at industry analyst firm Enterprise Management Associates."
"Now people are developing rich Web applications using Ajax techniques so Java is on the server and not executing on the client," he says."
Oracle,  empezando po Sun,ha avanzado el
desarrollo
del ecosistema d Javaen varias áreas,
incluyendo el
lenguaje de programación
del lado del servidor
entorn JREgeneralizada
del lado del cliente
pero los atacantes
continúan exponiendo
las vulnerabilidades
de seguridad grave JRE.La mayoría de estas
vulnerabilidades
están limitadas a
las plataforma máscomunes, tales com MacOSWindows peroya que Java
se utiliza en
una amplia variedad de
plataformas para
el software de cliente
el impacto de vulnerabilidades
puede entenders bienAquí intentaremos
hablar d la última serie de
vulnerabilidades de seguridad
de Java
y ofrecer algunas
medidas
para mejorar la
seguridad
de Java.
As of late, it seems that just as Oracle releases a patch for the most recently exposed Java vulnerability, attackers find a new one to exploit."
Another serious vulnerability was identified September 2012; it allows an attacker to exploit a core security feature of the Java JRE, Type Safety, to escape the Java sandbox."
Otra
 vulnerabilidad grave fue identificado
septiembre de 2012
; permite que
un atacante pueda aprovechar una característica de seguridad núcleo de
la JRE de Java, seguridad de tipos, para escapar del sandbox de Java.
An attacker can completely compromise the security of a system by exploiting this vulnerability."
Un atacante puede comprometer totalmente la seguridad de un sistema mediante la explotación de esta vulnerabilidad.
An attacker can completely compromise the security of a system by exploiting this vulnerability."
An attacker can completely compromise the security of a system by exploiting this vulnerability."
Worse yet, Java security patches may be giving attackers more exploit opportunities: It is believed that the JRE vulnerability that was reported August 2012 may have been introduced by a previous patch."
Peor
 aún, los parches de seguridad de Java pueden estar dando a los atacantes más
oportunidades de explotar: Se cree que la
vulnerabilidad JRE
 que se
informó de agosto 2012 puede haber sido introducida por un parche
anterior.
The bug in the AWT subcomponent of Java could also allow for code execution on the local system, which would bypass the sandbox and result in a system being compromised."
El
 error en el sub-componente AWT de Java también podría permitir la
ejecución de código en el sistema local, lo que evitaría la caja de
arena y dar lugar a un sistema que está siendo comprometida.
When Oracle's software update process exposes new security vulnerabilities, the strength of Java's software development lifecycle comes into question."
Cuando
 el proceso de actualización de software de Oracle expone nuevas
vulnerabilidades de seguridad, la fuerza del ciclo de vida de desarrollo
 de software de Java entra en cuestión.
Not all bugs can be prevented, but it seems clear a ger security development lifecycle is needed to help prevent the introduction of new Java bugs."
No
 todos los errores se pueden prevenir, pero parece claro un ciclo de
vida de desarrollo de seguridad más fuerte que se necesita para ayudar a
 prevenir la introducción de nuevos errores de Java.
An attacker can completely compromise the security of a system by exploiting this vulnerability."
Not all bugs can be prevented, but it seems clear a ger security development lifecycle is needed to help prevent the introduction of new Java bugs."
The reality is that the Java security problem isn't going away."
La realidad es que el problema de seguridad de Java no va a desaparecer.
Vulnerabilities will continue to be found, exploited and patched by Oracle with varying speed and efficiency."
Las vulnerabilidades seguirán siendo encontradas, explotadas y parcheados por Oracle con velocidad variable y eficiencia.
In all fairness, the software vendor faces a difficult task as it seeks to advance Java's development while trying to keep it secure."
Para
 ser justos, el proveedor de software se enfrenta a una tarea difícil,
ya que pretende fomentar el desarrollo de Java al intentar mantenerlo
seguro.
Unfortunately, on top of what was inherited from Sun Microsystems, Oracle has added to Java's technical debt, which will result in an ever greater number of vulnerabilities."
Oracle se ha sumado a la deuda técnica de Java, lo que
resultará en un número cada vez mayor de las vulnerabilidades.
Métodos para asegurar Java.
Como ya se ha dicho, algunos expertos recomiendan deshabilitar Java, pero también se ha visto que es más fácil decirlo que hacerlo.
Many believe that the state of Java security is so dire that it must be disabled on all enterprise client-side applications."
Though there are viable alternatives for software such as Adobe Reader, no real alternatives currently exist for the Java Runtime Environment."
A
 pesar de que existen alternativas viables para el software como Adobe
Reader, no hay alternativas reales existen en la actualidad para el
entorno de ejecución de Java.
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
La
 realidad es que muchas aplicaciones empresariales se basan en Java,
para muchas organizaciones, desactivar Java simplemente no es una
opción.
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
With that said, all of the standard advice for securing any client software applies to the JRE too, including not installing (or uninstalling) the JRE if it isn't necessary, keeping the JRE up to date, removing old versions, and implementing patch"
Dicho
 esto, el consejo estándar para asegurar cualquier software de
cliente se aplica al JRE también, incluyendo no instalar (o desinstalar)
 el JRE si no es necesario, manteniendo el JRE hasta la fecha, la
eliminación de las viejas versiones y la implementación de parches
management and endpoint security controls on the client side."
gestión de la seguridad y los controles en el extremo del lado del cliente.
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
management and endpoint security controls on the client side."
But consider additional controls specifically for Java."
Pero considere controles adicionales específicamente para Java.
For example, an enterprise could run the JRE and necessary software in its own virtual machine, run the JRE with reduced permissions (which should already be a default policy regardless) and allow whitelisted Java applets to run in the JRE with Noscript or similar software."
Por
 ejemplo, una empresa puede ejecutar el software JRE y necesaria en su
propia máquina virtual, ejecute el JRE con permisos reducidos (que ya
debe ser una política predeterminada independientemente) y permitir que
la lista blanca applets de Java para ejecutar en el JRE con el software
Noscript o similar.
The Enhanced Mitigation Experience Toolkit can be used to more securely configure the JRE on Windows systems."
El
 kit de herramientas de Mitigación Enhanced Experience se puede utilizar
 para configurar de forma más segura el JRE en los sistemas Windows.
Enterprises could also compile Java code into native executables to avoid issues with the JRE, but this action would negate the "write once, run anywhere" benefit of using Java."
Las
 empresas también pueden compilar código Java en ejecutables nativos
para evitar problemas con el JRE, pero esta acción negaría el "escribir
una vez, ejecutar en cualquier lugar" beneficio de la utilización de
Java.
Given that most Java applets are run on either PCs or Macs, this might be a reasonable measure for some organizations, but it wouldn't work for all platforms that run Java."
Teniendo
 en cuenta que la mayoría de los applets de Java se ejecutan en
cualquiera de PCs o Macs, esto podría ser una medida razonable para
algunas organizaciones, pero no iba a funcionar para todas las
plataformas que ejecutan Java.
If it could be compiled, this would help reduce the number of systems in an enterprise that needs a JRE installed just for one application."
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
If it could be compiled, this would help reduce the number of systems in an enterprise that needs a JRE installed just for one application."
Si
 pudiera ser compilado, esto ayudaría a reducir el número de sistemas en
 una empresa que tiene un JRE instalado sólo por una aplicación.
All of these methods require significant effort, but could reduce the risk to an acceptable level for most enterprises.."
The reality is that many enterprise applications rely on Java; for many organizations, disabling Java simply isn't an option."
All of these methods require significant effort, but could reduce the risk to an acceptable level for most enterprises.."
The Java Runtime Environment was the result of that need for easier cross-platform development."
El entorno de ejecución de Java fue el resultado de esa necesidad de facilitar el desarrollo multiplataforma.
Sadly, the reputation of the Java ecosystem has taken a significant hit due to the significant number of security vulnerabilities exposed in the JRE and Oracle's software development lifecycle."
Lamentablemente,
 la reputación del ecosistema Java ha tenido un éxito significativo
debido al gran número de vulnerabilidades de seguridad expuestas en el
JRE y ciclo de vida de desarrollo de software de Oracle.
While organizations should think long and hard about committing to Java, fortunately, there are ways for enterprises to limit the risk posed to their endpoints by the JRE if it is a business necessity; if it is not absolutely necessary, however, it should not be"
Si
 bien las organizaciones deben pensar largo y tendido acerca de
comprometerse con Java, por fortuna, hay maneras para que las empresas
para limitar el riesgo que representa para sus extremos por la JRE si se
 trata de una necesidad de la empresa, y si no es absolutamente
necesario, sin embargo, no debe ser
installed."