Nueva vulnerabilidad de Java está siendo explotada a gran escala en estos momentos. Se recomienda desactivar o mejor aun, desinstalar Java inmediatamente. El exploit ha sido confirmado en las versiones v1.6 Update 41 y Java v1.7 Update 15.
#5:
Para partirse la caja la traducción de está siendo explotada salvajemente. Lo siento, pero lo veo irrelevante, si vamos a sacar en portada cada vulnerabilidad de Java no acabamos nunca, además con tener el plugin desactivado asunto resuelto, algo que seguro muchos meneantes ya hacen, y firefox también, con cada versión vulnerable.
#8:
#6 Ese plugin es necesario, por ejemplo para acceder al aula virtual de determinadas universidades. Así que de patético nada, más bien necesario para muchos usuarios.
#4:
Aclarar que la vulnerabilidad, es únicamente con el java de oracle. Los que utilizamos openjdk en principio no están afectados
#35:
#8 Conozco ese caso de cerca, y por ello te puedo asegurar que es doblemente triste. De hecho sigo viendo viejas y obsoletas plataformas SCORM, no solo en universidades, sino también en el ámbito corporativo. He desarrollado y certificado plataformas SCORM que no hacían uso de Java client-side... y hace ya más de 7 años de aquello. Es algo totalmente prescindible, salvo que los propios contenidos formativos incluyan simuladores en Java, sistemas de generación de gráficos con applets, etc.
¿Que existen? Ya lo sé. ¿Que son idóneas? Ni por asomo.
Además, creo que no has entendido mi planteamiento. He desarrollado y sigo manteniendo applets para mis clientes -normalmente aplicaciones antiguas- pero también para esos casos se suministra un sistema de desbloqueo para activar los applets si, y solo si, el usuario da permiso de forma expresa (y solo lo puede dar en el ámbito de una Intranet).
Tenerlo desactivado por defecto no es equivalente a no usarlo, sino a saber usarlo y ser consciente de sus riesgos. Cosa que no está al alcance de un usuario sin información. Y, desde luego, la solución no es esa alerta magufa de "desinstalar Java por completo".
#6 Ese plugin es necesario, por ejemplo para acceder al aula virtual de determinadas universidades. Así que de patético nada, más bien necesario para muchos usuarios.
#8 Lo patético es que los desarrolladores sigan empeñados en hacer cosas dependientes de plugins, obligando a los usuarios a abrir auténticos boquetes de seguridad...
#27 En España todo el sistema de firma electrónica, DNI electrónico y relaciones con la administración se realizan usando el plugin de Java. Por lo tanto en España usar Java es un imperativo legal, no una opción.
#53 Pero puedes tener Java desactivado y activarlo solo cuando vayas a trabajar con el DNIe o con las webs que lo utilicen y consideres seguras. Con los certificados CERES no pasa, a no ser que la web utilice Java por que la hayan hecho de esa manera, en cambio con el DNIe creo que hace falta Java si o si ¿no?
#53 Te pondré un ejemplo: Acrobat Reader y sus plugins de navegador han sido un problema de seguridad constante desde el inicio de los tiempos.
Algunas administraciones también te exigían que usaras formularios PDF, pero eso no supone que tengas el plugin activado en el navegador: te bajabas el PDF, lo cumplimentabas y lo reenviabas. Y si no lo permitían, activabas el plugin (que tenías convenientemente desactivado), hacías el trámite, y volvías a desactivar el plugin. Ese era el método seguro. El único.
Pues con Java pasa lo mismo. El peligro no es la aplicación (Java, Acrobat o VLC), sino el plugin 'abierto'. Y todos los plugins/extensiones --todos-- son igualmente peligrosos.
#61 Definitivamente, me he explicado fatal. Le mis comentarios en #35 y #60
El problema no es lo que yo diga o deje de decir, el problema es que un montón de usuarios con el navegador correctamente configurado no podrán hacer uso de tu web. Yo, que sí tengo el plugin de Java instalado (pero desactivado), no lo activaré para acceder a tu sitio (nunca lo hago por seguridad). Ese es el problema: tu público potencial.
Bien, las alternativas: hasta hace poco sólo tenías Flash. De hecho, seguro que hay cubos Rubik por algún lado hechos en Flash (intuyo, supongo). La otra posibilidad, la moderna, es usar el API 3D presente de forma nativa en los navegadores que incorporan funcionalidades de HTML5.
Si has copiado los applets, poco podrás hacer para solucionarlo de forma fácil. Tendrás que esperar a que alguien desarrolle algo semejante en HTML5.
Insisto, no critico la tecnología Java --sería bastante absurdo puesto que me da de comer--, simplemente alerto de un problema y su escasa comprensión.
#8 Conozco ese caso de cerca, y por ello te puedo asegurar que es doblemente triste. De hecho sigo viendo viejas y obsoletas plataformas SCORM, no solo en universidades, sino también en el ámbito corporativo. He desarrollado y certificado plataformas SCORM que no hacían uso de Java client-side... y hace ya más de 7 años de aquello. Es algo totalmente prescindible, salvo que los propios contenidos formativos incluyan simuladores en Java, sistemas de generación de gráficos con applets, etc.
¿Que existen? Ya lo sé. ¿Que son idóneas? Ni por asomo.
Además, creo que no has entendido mi planteamiento. He desarrollado y sigo manteniendo applets para mis clientes -normalmente aplicaciones antiguas- pero también para esos casos se suministra un sistema de desbloqueo para activar los applets si, y solo si, el usuario da permiso de forma expresa (y solo lo puede dar en el ámbito de una Intranet).
Tenerlo desactivado por defecto no es equivalente a no usarlo, sino a saber usarlo y ser consciente de sus riesgos. Cosa que no está al alcance de un usuario sin información. Y, desde luego, la solución no es esa alerta magufa de "desinstalar Java por completo".
#46 Yo estoy de acuerdo. A día de hoy es más práctico hacer interfaces web con llamadas ajax constantes. Los beneficios marginales de usar un applet no son demasiado. Se puede prescindir por completo.
Por otro lado el estándar scorm en cliente no tiene nada que ver con java, es una api javascript, aunque creo que no te he entendido bien en ese punto.
Otra cosa es que se hicieran materiales de elearning con applets, hace años, aunque lo que más se usa es el flash... y ahora que flash está medio muerto, pues a cambiar todo otra vez
Pero eso no quita que siga habiendo muchísimas apicaciones corporativas hechas con applets java.
#51 En efecto, el enlace con el API SCORM se hace con Javascript desde hace años, pero quedan un montón de plataformas que usan (normalmente por copypaste de otros proyectos) un API empotrada en un applet Java e invocada, claro, desde JS. Normalmente pertenecen al viejo estándar SCORM 1.2 que aún se usa con sorprendente profusión. De hecho, la siguiente versión (SCORM 2004) no ha sido ampliamente adoptada ni en el 2012
Las unidades formativas basadas en applets fueron pocas y desaparecieron, como bien dices, en favor de Flash. Aunque en algunos casos tenían su sentido porque hacer un programa serio y complejo en Flash (ActionScript) era un infierno.
Para partirse la caja la traducción de está siendo explotada salvajemente. Lo siento, pero lo veo irrelevante, si vamos a sacar en portada cada vulnerabilidad de Java no acabamos nunca, además con tener el plugin desactivado asunto resuelto, algo que seguro muchos meneantes ya hacen, y firefox también, con cada versión vulnerable.
#4#21 No me hagais mucho caso, pero openjdk está desarrollado por oracle y comparte código con java oficial, de hecho siguen el mismo versionado. Así que si es vulnerable uno lo es el otro. No pongo la mano en el fuego por ello pero creo que es así.
#71 Si sólo afectó a windows una vulnerabilidad anterior será por alguna característica de la plataforma, porque en linux está tanto openjdk como oracle java. O estás diciendo que una vulnerabilidad anterior no afectó a openjdk pero sí a oracle java? Porque no es eso lo que se entiende.
De cualquier manera, sólo tienes que entrar a http://openjdk.java.net/ para ver lo que pone "...Oracle JDK 7 product binaries for Solaris, Linux, Mac OS X or Windows, which are based largely on the same code". Como suponía oracle java y openjdk están basados en el mismo código, lo que tiene mucho sentido porque una misma empresa no iba a crear dos implementaciones de un software tan grande.
#1 Lo que resulta patético es que hoy en día aún quede gente con el plugin/bridge de Java activado en el navegador.
Pero ojo, no es más patético que lo de los usuarios que tienen activados plugins de Acrobat, de Windows Media PLayer o de VLC. De hecho, los últimos, son auténticos coladeros. Es un problema de concepto y de contexto de ejecución (un navegador), no de Java.
#6 Pues acabas de cargarte miles de aplicaciones corporativas si lo desactivas... Para empezar, sólo en mi empresa varios cientos de personas lo necesitan...
#6 Hola, mi página web tiene unas animaciones que necesitan java: www.rubikaz.com . Sí, ya veo que es patético que necesite java el que use en mi web, pero si sabes alguna manera sencilla de hacer lo mismo (las animaciones no las he programado yo, solo las inserto variando unos parámetros en html) te lo agradecería...
The good news is that the security company says the exploit is “not very reliable” as it tries to overwrite a big chunk of memory and often results in the JVM crashing.
Un exploit inútil que solo sirve para colgar java, y según el titular se esta usando salvajemente. Mas sensacionalista no puede ser...
Definición de "in the wild" en el contexto de la seguridad informática:
"According to noted computer virus expert Paul Ducklin, in order for a virus [entiéndase extensible a malware, exploit, etc] to be considered in the wild, "it must be spreading as a result of normal day-to-day operations on and between the computers of unsuspecting users." Although there are an estimated 47,000 computer viruses, fewer than 600 are said to be circulating outside of laboratories and research facilities - hence, in the wild."
Como desarrollador de aplicaciones en Java que soy, me gustaría aclarar algunas cosas:
-Los fallos que están saliendo últimamente son fallos que afectan al plugin de Java para los navegadores. Mi consejo es tener dos navegadores instalados: uno sin el plugin de Java (el habitual) y otro con el plugin para poder usar Java en las páginas que nos obligan a usarlo pero sabemos que son seguras (por ejemplo la de Hacienda, la de las universidades... etc).
Nota: Que lo diga un javero puede resultar sorprendente, pero opino que los applets son, como Flash, un invento del demonio que debería desaparecer. Es más, prefiero Flash porque es algo menos pesado.
-Las aplicaciones que usan un JRE como Minecraft no usan ese plugin, sigue siendo seguro ejecutarlas: no es necesario desinstalar el JRE completo.
- Java es pesado y lento... arrancando. Si necesitas ejecutar una aplicación pequeña, es bastante poco eficiente porque necesitas cargar la JVM que puede ocupar como 100MB de RAM. Obviamente, si haces una aplicación que ocupa 2 MB, pues la ejecución lo mismo se chupa 102 MB. Por eso las aplicaciones de escritorio se notan pesadas para arrancar (OpenOffice, Minecraft, Vuze...)
En cambio, en el lado de los servidores, esos 100MB no son nada. Una vez arrancado el servidor en el proyecto en el que trabajo ahora, con 4GB de RAM no tenemos ni para empezar, pero es que es una aplicación gigantesca. Y la velocidad de ejecución es la misma que la de C# y muy cercana a la de C++, por lo que se le considera una plataforma bastante eficiente en la relación velocidad de desarrollo/velocidad de ejecución.
Antes (hablo de Java 1.4, hablo del año 2004) sí que era muy lento en ejecución, pero desde Java 5 y el uso de la compilación JIT es más rápido que php, ruby, Javascript, Python y otros lenguajes no compilados.
Como sigamos lanzando a portada cada bug de una aplicación, va a acabar esto petado.
Y no me vengáis con que Java es usado en muchos sitios y tal.. hay muchísimo software que es enormemente utilizado y lleno de bugs, y no por eso son portada.
Patético tener instalado el plug in de java? Algunos os deberíais mirar el ego...
Para mi es bastante necesario, pero.perdón por no.saber tanto de ordenadores.
#16 Ya te digo. Voy a probar, a ver si también lava la ropa.
#20 Es necesario para muchos, incluso hay partes de la administración electrónica que usan java. Ahora, lo mejor es tenerlo deshabilitado cuando no lo necesites y activarlo cuando sea necesario. Es lo que yo hago.
#21 Hombre, yo apostaría por deshabilitarlo (que no desinstalarlo) hasta que haya un parche, y activarlo en donde lo necesites.
A mi alguna mierda me han colado alguna mierda por el Java ese. Ahora mismo no lo tengo inststalado, ni lo pienso hacer, salvo que sea imprescindible, y en cuanto pueda, lo desactivaría para evitar que me vuelva a pasar.
#57 Mejor, así puedo escribir sin que me digan lo que debo decir
Lo que más me preocupa es que estoy aprendiendo Java como mi primer lenguaje (para intentar hacer algo para Android) y últimamente sólo salen noticias negativas...
Lo lógico sería que los que llevan Java, es decir Oracle, solucione inmediatamente el problema de alguna forma, es decir...¿Por qué tengo que andar desactivando Java? No todo el mundo tiene por qué saberlo...
#45
Instalar y actualizar el SO que te llevará 30min o más
exportar e importar tus archivos, aunque te lleve 15 minutos.
Reinstalar todo el software que a veces no te acuerdas del nombre de algunos programas, aunque te lleve 30min que muchas veces es más.
Adaptar el SO a la configuración que tenías antes, instalar impresoras, impresoras de red, configurar red (ips, dns...), archivos compartidos, sus permisos, usuarios, archivos sincronizados, cinco cuentas en outlook con sus calendarios y agendas, etc. ~30min.
¿qué ventajas tiene cambiar de SO cada seis meses que compensen hora y media de molestias, o aunque sólo fuese media hora?
#47 Si quieres usar Cyber yo de ti deshabilitaría el plugin para el navegador en el panel del propio java y seguiría con java instalado para los programas. Lo que falla es el pluging así que puedes estar tranquilo.
#12 No se mucho del tema, pero creo que no tiene nada que ver. Puedes usar una aplicación que requiera Java en tu ordenador y a la vez tener Java desactivado en el navegador web. Si desactivas Java en el navegador, podrás seguir usando la aplicación Cyberduck sin problema alguno de seguridad.
Si estoy equivocado, ruego que alguien me corrija, pero creo es así.
#12 Yo desactivaría el plugin Java en los navegadores y seguiría usando Cyberduck.
Es más, estoy un poco harto de FileZilla en Mac y creo que le voy a dar una oportunidad al tuyo
#45 Es que a un ingeniero no creo que le apetezca estar cambiando... Y cambiar entre ellos es una tarea muy tediosa si usas el PC para algo más que navegar,cambiar programas, configuraciones...
#41 Si y no veo donde está el trauma. YO cambio de SO constantemente, y no soy ni ingeniero ni KernelDeveloper. Pero como mucho mucho cada 6 meses tengo uno nuevo puesto por máquina (portatil, netbook, sobremesa y si me apuras ROM del movil tambien lo meto en el recuento). Es ultra-sencillo cambiar entre ellos, a poco que tengas un disco duro con backup de tus datos (que a día de hoy no concibo que no se tenga hecho) a si que no se que parte del cambio de un SO da tanto miedo! lo único dificil de actualizar al principio es el dispositivo que está 'entre la silla y el monitor' Pero en cuanto le haces un par de cambios... el resto van rodados. ¿Que enorme cantidad de software ultra especializado tenéis instalado en los ordenadores para que sea TAN traumático un cambio de SO? que es algo que se instala en media hora, una como mucho, y no conozco un SO moderno que tardes en configurar. es mas, con chrome por ejemplo alla donde te logues te sincroniza hasta los favoritos con sus claves incluidas. y para el par de cositas que me 'requieren' windows o lo que sea... pues no se: ¿a una maquina virtual? No se, igual es que yo soy taaaaaaan raro.
Vaya puta mierda! Estoy hasta los cojones de tener que andar pendientes de estas polladas a todas horas. Esta gente no sabe hacer bien su trabajo?? Des-instalado!
Lo peor es que hay herramientas que utilizo que funcionan bajo esta mosta...
Desde luego lo de Java, parece una broma. Cada vez que arreglan un agüjero, le salen 2 mas. Parece como si Oracle quisiera dejar morir a Java por alguna razón.
La solución es lo mas sencillo del mundo : Ubuntu y sin mierdas de plugins activados. Yo ya solo me meto a windows para jugar (y suele ser offline) y por desgracia en el trabajo que todavía tenemos unos flamantes, aunque seguros, W2K.
#16 Oíste mal... o entendiste lo que te dio la gana. Pero bueno, no merece la pena discutir con anormales quisquillosos. Usa tu sabor de Linux favorito. Para mi, que soy el que comenta, la solución es esa. Si tu vas de divo con soluciones universales: enhorabuena chaval. Enganchate a un Gentoo a ver si con suerte haces mas útil con cada pulsación de tecla que hacer mofa de los demas (sin acritud)
#36 En primer lugar no tengo muy claro pq vas tildando a la gente de "anormales quisquillosos" , mas aun despues de la sandez que dices. Tampoco tengo muy claro de donde te sacas que lo que he dicho lo decia especificamente por ti , pero bueno que si quieres un consejo de "anormal quisquilloso" tomatelo con mas calma, disfruta, no te lleves mal rato, la vida es algo mas que ubuntu,gentoo y esas cosas como para ir insultando a la gente por ahi por nimiedades.
Yo no voy de divo de nada (pero tambien te digo que personalmente la gente que arregla un problema cambiando de sistema operativo, apagando y encendiendo, o dandole un golpe al raton, al menos en el orden de arreglar un problema me parecen tirando a limitados ) . Personalmente creo que desinstalar el sistema operativo en este caso mas que una solucion es una soplapollez , pero si es la solucion que te parece correcta , adelante (yo tengo por ahi un spectrum a la espera de algun problema irrresoluble por si te falla algo en tu ubuntu, si es que es posible que algo falle) . Qué no será lo que arregle un usuario de ubuntu con su ubuntu y esa sabiduria extra que aporta decir que lo utilizas y proponerlo como solucion y mejora a "cualquier cosa".
Lo del gentoo casi que paso, y los sabados a estas horas es que me gusta ser poco productivo. Sin acritud
#7#13 Si el agujero de seguridad afecta solamente a la JVM de Oracle, como parece ser, la solución es instalar OpenJDK. En Linux esta es la distribución de java por defecto así que no hace falta hacer nada. En Windows/OSX solamente hace falta descargarse el instalador y asunto solucionado. Por ejemplo: http://community.openscg.com/se/openjdk/
#7 Ubuntu es lo más inseguro que hay, además es la distro de los lameruzos. Una Gentoo o una Arch como $DEITY manda o nada. Y si no sabes instalarlo, RTFM al canto, me da igual que no hayas tocado la consola en tu vida: búscalo en el puto Google, aprende a programar en C, a compilar el kernel, a utilizar git, bazaar y svn y a ajustar los parámetros de /etc. Y si tu hardware no está soportado compra otro y ves comprando hasta que encuentres uno que funcione.
[/el típico talibán con sus consejos sin sentido común]
Comentarios
JAVA: Just Another Vulnerability Alert
#6 Ese plugin es necesario, por ejemplo para acceder al aula virtual de determinadas universidades. Así que de patético nada, más bien necesario para muchos usuarios.
#8 Lo patético es que los desarrolladores sigan empeñados en hacer cosas dependientes de plugins, obligando a los usuarios a abrir auténticos boquetes de seguridad...
#27 En España todo el sistema de firma electrónica, DNI electrónico y relaciones con la administración se realizan usando el plugin de Java. Por lo tanto en España usar Java es un imperativo legal, no una opción.
#53 Pero puedes tener Java desactivado y activarlo solo cuando vayas a trabajar con el DNIe o con las webs que lo utilicen y consideres seguras. Con los certificados CERES no pasa, a no ser que la web utilice Java por que la hayan hecho de esa manera, en cambio con el DNIe creo que hace falta Java si o si ¿no?
#53 Te pondré un ejemplo: Acrobat Reader y sus plugins de navegador han sido un problema de seguridad constante desde el inicio de los tiempos.
Algunas administraciones también te exigían que usaras formularios PDF, pero eso no supone que tengas el plugin activado en el navegador: te bajabas el PDF, lo cumplimentabas y lo reenviabas. Y si no lo permitían, activabas el plugin (que tenías convenientemente desactivado), hacías el trámite, y volvías a desactivar el plugin. Ese era el método seguro. El único.
Pues con Java pasa lo mismo. El peligro no es la aplicación (Java, Acrobat o VLC), sino el plugin 'abierto'. Y todos los plugins/extensiones --todos-- son igualmente peligrosos.
#61 Definitivamente, me he explicado fatal. Le mis comentarios en #35 y #60
El problema no es lo que yo diga o deje de decir, el problema es que un montón de usuarios con el navegador correctamente configurado no podrán hacer uso de tu web. Yo, que sí tengo el plugin de Java instalado (pero desactivado), no lo activaré para acceder a tu sitio (nunca lo hago por seguridad). Ese es el problema: tu público potencial.
Bien, las alternativas: hasta hace poco sólo tenías Flash. De hecho, seguro que hay cubos Rubik por algún lado hechos en Flash (intuyo, supongo). La otra posibilidad, la moderna, es usar el API 3D presente de forma nativa en los navegadores que incorporan funcionalidades de HTML5.
Si has copiado los applets, poco podrás hacer para solucionarlo de forma fácil. Tendrás que esperar a que alguien desarrolle algo semejante en HTML5.
Insisto, no critico la tecnología Java --sería bastante absurdo puesto que me da de comer--, simplemente alerto de un problema y su escasa comprensión.
#8 Conozco ese caso de cerca, y por ello te puedo asegurar que es doblemente triste. De hecho sigo viendo viejas y obsoletas plataformas SCORM, no solo en universidades, sino también en el ámbito corporativo. He desarrollado y certificado plataformas SCORM que no hacían uso de Java client-side... y hace ya más de 7 años de aquello. Es algo totalmente prescindible, salvo que los propios contenidos formativos incluyan simuladores en Java, sistemas de generación de gráficos con applets, etc.
¿Que existen? Ya lo sé. ¿Que son idóneas? Ni por asomo.
Además, creo que no has entendido mi planteamiento. He desarrollado y sigo manteniendo applets para mis clientes -normalmente aplicaciones antiguas- pero también para esos casos se suministra un sistema de desbloqueo para activar los applets si, y solo si, el usuario da permiso de forma expresa (y solo lo puede dar en el ámbito de una Intranet).
Tenerlo desactivado por defecto no es equivalente a no usarlo, sino a saber usarlo y ser consciente de sus riesgos. Cosa que no está al alcance de un usuario sin información. Y, desde luego, la solución no es esa alerta magufa de "desinstalar Java por completo".
#44 Lo he explicado en #35
#46 Yo estoy de acuerdo. A día de hoy es más práctico hacer interfaces web con llamadas ajax constantes. Los beneficios marginales de usar un applet no son demasiado. Se puede prescindir por completo.
Por otro lado el estándar scorm en cliente no tiene nada que ver con java, es una api javascript, aunque creo que no te he entendido bien en ese punto.
Otra cosa es que se hicieran materiales de elearning con applets, hace años, aunque lo que más se usa es el flash... y ahora que flash está medio muerto, pues a cambiar todo otra vez
Pero eso no quita que siga habiendo muchísimas apicaciones corporativas hechas con applets java.
#51 En efecto, el enlace con el API SCORM se hace con Javascript desde hace años, pero quedan un montón de plataformas que usan (normalmente por copypaste de otros proyectos) un API empotrada en un applet Java e invocada, claro, desde JS. Normalmente pertenecen al viejo estándar SCORM 1.2 que aún se usa con sorprendente profusión. De hecho, la siguiente versión (SCORM 2004) no ha sido ampliamente adoptada ni en el 2012
Las unidades formativas basadas en applets fueron pocas y desaparecieron, como bien dices, en favor de Flash. Aunque en algunos casos tenían su sentido porque hacer un programa serio y complejo en Flash (ActionScript) era un infierno.
Para partirse la caja la traducción de está siendo explotada salvajemente. Lo siento, pero lo veo irrelevante, si vamos a sacar en portada cada vulnerabilidad de Java no acabamos nunca, además con tener el plugin desactivado asunto resuelto, algo que seguro muchos meneantes ya hacen, y firefox también, con cada versión vulnerable.
#5 A mí todavía me duelen los ojos al ver la traducción.
¡qué bajo ha caido meneame! Una noticia mal traducida a idea para hacer microbloging enlazando a una web fiable al 100% que promociona todo y cuanto tiene que ver con Microsoft y boicotea todo y cuanto le hace la competencia (Oracle Java) y que entre otras perlas afirma que el navegador Chrome de Google está de capa caida y que IE sigue avanzando posiciones (http://thenextweb.com/insider/2013/03/01/internet-explorer-continues-growth-past-55-market-share-thanks-to-ie9-and-ie10-as-chrome-hits-17-month-low/?fromcat=all)
#5 #18 #19 Ya puestos, yo lo hubiera traducido como "a lo loco"
Aclarar que la vulnerabilidad, es únicamente con el java de oracle. Los que utilizamos openjdk en principio no están afectados
#4 #21 No me hagais mucho caso, pero openjdk está desarrollado por oracle y comparte código con java oficial, de hecho siguen el mismo versionado. Así que si es vulnerable uno lo es el otro. No pongo la mano en el fuego por ello pero creo que es así.
#66 No es cierto, en la vulnerabilidad anterior a esta sólo afectó a los Windows y creo que a los Apple.
#71 Si sólo afectó a windows una vulnerabilidad anterior será por alguna característica de la plataforma, porque en linux está tanto openjdk como oracle java. O estás diciendo que una vulnerabilidad anterior no afectó a openjdk pero sí a oracle java? Porque no es eso lo que se entiende.
De cualquier manera, sólo tienes que entrar a http://openjdk.java.net/ para ver lo que pone "...Oracle JDK 7 product binaries for Solaris, Linux, Mac OS X or Windows, which are based largely on the same code". Como suponía oracle java y openjdk están basados en el mismo código, lo que tiene mucho sentido porque una misma empresa no iba a crear dos implementaciones de un software tan grande.
Es bastante patético lo de java últimamente.
#1 Lo que resulta patético es que hoy en día aún quede gente con el plugin/bridge de Java activado en el navegador.
Pero ojo, no es más patético que lo de los usuarios que tienen activados plugins de Acrobat, de Windows Media PLayer o de VLC. De hecho, los últimos, son auténticos coladeros. Es un problema de concepto y de contexto de ejecución (un navegador), no de Java.
#6 Pues acabas de cargarte miles de aplicaciones corporativas si lo desactivas... Para empezar, sólo en mi empresa varios cientos de personas lo necesitan...
#6 Hola, mi página web tiene unas animaciones que necesitan java: www.rubikaz.com . Sí, ya veo que es patético que necesite java el que use en mi web, pero si sabes alguna manera sencilla de hacer lo mismo (las animaciones no las he programado yo, solo las inserto variando unos parámetros en html) te lo agradecería...
El titular parece salido de Cuanto Cabrón. "Estas tranquilamente navegando cuando de repente, ¡una vulnerabilidad salvaje aparece...!"
In the wild != salvajemente
Da a entender que está siendo explotada masivamente, cuando más bien es lo contrario según el artículo.
The good news is that the security company says the exploit is “not very reliable” as it tries to overwrite a big chunk of memory and often results in the JVM crashing.
Un exploit inútil que solo sirve para colgar java, y según el titular se esta usando salvajemente. Mas sensacionalista no puede ser...
Definición de "in the wild" en el contexto de la seguridad informática:
"According to noted computer virus expert Paul Ducklin, in order for a virus [entiéndase extensible a malware, exploit, etc] to be considered in the wild, "it must be spreading as a result of normal day-to-day operations on and between the computers of unsuspecting users." Although there are an estimated 47,000 computer viruses, fewer than 600 are said to be circulating outside of laboratories and research facilities - hence, in the wild."
http://searchsecurity.techtarget.com/definition/in-the-wild
Como desarrollador de aplicaciones en Java que soy, me gustaría aclarar algunas cosas:
-Los fallos que están saliendo últimamente son fallos que afectan al plugin de Java para los navegadores. Mi consejo es tener dos navegadores instalados: uno sin el plugin de Java (el habitual) y otro con el plugin para poder usar Java en las páginas que nos obligan a usarlo pero sabemos que son seguras (por ejemplo la de Hacienda, la de las universidades... etc).
Nota: Que lo diga un javero puede resultar sorprendente, pero opino que los applets son, como Flash, un invento del demonio que debería desaparecer. Es más, prefiero Flash porque es algo menos pesado.
-Las aplicaciones que usan un JRE como Minecraft no usan ese plugin, sigue siendo seguro ejecutarlas: no es necesario desinstalar el JRE completo.
- Java es pesado y lento... arrancando. Si necesitas ejecutar una aplicación pequeña, es bastante poco eficiente porque necesitas cargar la JVM que puede ocupar como 100MB de RAM. Obviamente, si haces una aplicación que ocupa 2 MB, pues la ejecución lo mismo se chupa 102 MB. Por eso las aplicaciones de escritorio se notan pesadas para arrancar (OpenOffice, Minecraft, Vuze...)
En cambio, en el lado de los servidores, esos 100MB no son nada. Una vez arrancado el servidor en el proyecto en el que trabajo ahora, con 4GB de RAM no tenemos ni para empezar, pero es que es una aplicación gigantesca. Y la velocidad de ejecución es la misma que la de C# y muy cercana a la de C++, por lo que se le considera una plataforma bastante eficiente en la relación velocidad de desarrollo/velocidad de ejecución.
Antes (hablo de Java 1.4, hablo del año 2004) sí que era muy lento en ejecución, pero desde Java 5 y el uso de la compilación JIT es más rápido que php, ruby, Javascript, Python y otros lenguajes no compilados.
Titulares alternativos a Explotada salvajamente.
Explotada brutalmente.
Explotada atrozmente.
Explotada acojonantemente.
Explotada como si no hubiese un mañana.
No. En serio ?
#47 hay un montón de programas habituales que usan Java, si no estoy equivocado: OpenOffice, Minecraft, Jdownloader, etc...
Como sigamos lanzando a portada cada bug de una aplicación, va a acabar esto petado.
Y no me vengáis con que Java es usado en muchos sitios y tal.. hay muchísimo software que es enormemente utilizado y lleno de bugs, y no por eso son portada.
Eso sí, propongo buguéame.net
Hace mucho que lo tengo deshabilitado.
Lo de las webs que usan applets parece de otra época.
#2 Por ejemplo la direccion general de policia y su dni electronico.
#39 Ya tengo motivo para no usarla.
Patético tener instalado el plug in de java? Algunos os deberíais mirar el ego...
Para mi es bastante necesario, pero.perdón por no.saber tanto de ordenadores.
#16 Ya te digo. Voy a probar, a ver si también lava la ropa.
#20 Es necesario para muchos, incluso hay partes de la administración electrónica que usan java. Ahora, lo mejor es tenerlo deshabilitado cuando no lo necesites y activarlo cuando sea necesario. Es lo que yo hago.
#21 Hombre, yo apostaría por deshabilitarlo (que no desinstalarlo) hasta que haya un parche, y activarlo en donde lo necesites.
#25 creo que te has confundido al citarme
#28 ok
#30 Cambiar de SO no es amputar, es matar y enterrar.
Si quieres amputar algo, amputa Java desinstalándolo y aún así será drástico pero al menos no tan exagerado como cambiar de SO.
Por cierto, me hizo gracia lo de Ubuntu en vez de Linux, cualquier linux.
Oracle cagandola de nuevo, ¿Por que no le dan un tiro a java directamente?.. echo de menos a Sun
A mi alguna mierda me han colado alguna mierda por el Java ese. Ahora mismo no lo tengo inststalado, ni lo pienso hacer, salvo que sea imprescindible, y en cuanto pueda, lo desactivaría para evitar que me vuelva a pasar.
in the wild = suelto
wildly = salvajemente
#48: Con esa actitud nunca serás contratado como redactor de titulares.
#57 Mejor, así puedo escribir sin que me digan lo que debo decir
Lo que más me preocupa es que estoy aprendiendo Java como mi primer lenguaje (para intentar hacer algo para Android) y últimamente sólo salen noticias negativas...
Lo lógico sería que los que llevan Java, es decir Oracle, solucione inmediatamente el problema de alguna forma, es decir...¿Por qué tengo que andar desactivando Java? No todo el mundo tiene por qué saberlo...
Y ahora como voy a jugar Minecraft
Yo usaba bastante cyberduck en OsX, y ya he tenido que buscar alternativas no tan buenas... pq resulta q esta hecho en Java
#12 http://filezilla-project.org/download.php
#14 Es el que uso ahora, pq ya lo usaba en Win, pero Cyberduck tenia detalles que le faltan a Filezilla y una interfaz mucho mas comoda
#12.... esta hecho en java...... y?
Es mas: esta hecho en java????? seguro????
#38 Seguro, pq desinstale Java, y al ejecutar Cyber me pidio que instalara un JRE. Acto y seguido, desinstale Cyber
#42 Seguramente, pero solo tenerlo para el Cyber, y viendo el percal, a su casa caracol...
#45
Instalar y actualizar el SO que te llevará 30min o más
exportar e importar tus archivos, aunque te lleve 15 minutos.
Reinstalar todo el software que a veces no te acuerdas del nombre de algunos programas, aunque te lleve 30min que muchas veces es más.
Adaptar el SO a la configuración que tenías antes, instalar impresoras, impresoras de red, configurar red (ips, dns...), archivos compartidos, sus permisos, usuarios, archivos sincronizados, cinco cuentas en outlook con sus calendarios y agendas, etc. ~30min.
¿qué ventajas tiene cambiar de SO cada seis meses que compensen hora y media de molestias, o aunque sólo fuese media hora?
#47 Si quieres usar Cyber yo de ti deshabilitaría el plugin para el navegador en el panel del propio java y seguiría con java instalado para los programas. Lo que falla es el pluging así que puedes estar tranquilo.
#12 Oooops, no lo sabía... Pues lo buscaré un sustituto...
#12 No se mucho del tema, pero creo que no tiene nada que ver. Puedes usar una aplicación que requiera Java en tu ordenador y a la vez tener Java desactivado en el navegador web. Si desactivas Java en el navegador, podrás seguir usando la aplicación Cyberduck sin problema alguno de seguridad.
Si estoy equivocado, ruego que alguien me corrija, pero creo es así.
#12 Yo desactivaría el plugin Java en los navegadores y seguiría usando Cyberduck.
Es más, estoy un poco harto de FileZilla en Mac y creo que le voy a dar una oportunidad al tuyo
#45 Es que a un ingeniero no creo que le apetezca estar cambiando... Y cambiar entre ellos es una tarea muy tediosa si usas el PC para algo más que navegar,cambiar programas, configuraciones...
Hoy me ha saltado una actualización de Java, no sé si será un parche para esto. ¿Sabéis algo?
#30 Claro, hay un fallo en un programa y cambias de SO...
#41 Si y no veo donde está el trauma. YO cambio de SO constantemente, y no soy ni ingeniero ni KernelDeveloper. Pero como mucho mucho cada 6 meses tengo uno nuevo puesto por máquina (portatil, netbook, sobremesa y si me apuras ROM del movil tambien lo meto en el recuento). Es ultra-sencillo cambiar entre ellos, a poco que tengas un disco duro con backup de tus datos (que a día de hoy no concibo que no se tenga hecho) a si que no se que parte del cambio de un SO da tanto miedo! lo único dificil de actualizar al principio es el dispositivo que está 'entre la silla y el monitor' Pero en cuanto le haces un par de cambios... el resto van rodados. ¿Que enorme cantidad de software ultra especializado tenéis instalado en los ordenadores para que sea TAN traumático un cambio de SO? que es algo que se instala en media hora, una como mucho, y no conozco un SO moderno que tardes en configurar. es mas, con chrome por ejemplo alla donde te logues te sincroniza hasta los favoritos con sus claves incluidas. y para el par de cositas que me 'requieren' windows o lo que sea... pues no se: ¿a una maquina virtual? No se, igual es que yo soy taaaaaaan raro.
Vaya puta mierda! Estoy hasta los cojones de tener que andar pendientes de estas polladas a todas horas. Esta gente no sabe hacer bien su trabajo?? Des-instalado!
Lo peor es que hay herramientas que utilizo que funcionan bajo esta mosta...
#30 Entonces a base de amputar nos quedamos sin nada.
Desde luego lo de Java, parece una broma. Cada vez que arreglan un agüjero, le salen 2 mas. Parece como si Oracle quisiera dejar morir a Java por alguna razón.
La solución es lo mas sencillo del mundo : Ubuntu y sin mierdas de plugins activados. Yo ya solo me meto a windows para jugar (y suele ser offline) y por desgracia en el trabajo que todavía tenemos unos flamantes, aunque seguros, W2K.
#7 el s.o que uses es irrelevante, no comentemos sin tener ni idea.
#7 ¿la solución es cambiar de SO?
#13 Pero solo si es a ubuntu, he oido que es la solucion a todos los males y da superpoderes al que lo usa.
#16 Oíste mal... o entendiste lo que te dio la gana. Pero bueno, no merece la pena discutir con anormales quisquillosos. Usa tu sabor de Linux favorito. Para mi, que soy el que comenta, la solución es esa. Si tu vas de divo con soluciones universales: enhorabuena chaval. Enganchate a un Gentoo a ver si con suerte haces mas útil con cada pulsación de tecla que hacer mofa de los demas (sin acritud)
#36 En primer lugar no tengo muy claro pq vas tildando a la gente de "anormales quisquillosos" , mas aun despues de la sandez que dices. Tampoco tengo muy claro de donde te sacas que lo que he dicho lo decia especificamente por ti , pero bueno que si quieres un consejo de "anormal quisquilloso" tomatelo con mas calma, disfruta, no te lleves mal rato, la vida es algo mas que ubuntu,gentoo y esas cosas como para ir insultando a la gente por ahi por nimiedades.
Yo no voy de divo de nada (pero tambien te digo que personalmente la gente que arregla un problema cambiando de sistema operativo, apagando y encendiendo, o dandole un golpe al raton, al menos en el orden de arreglar un problema me parecen tirando a limitados ) . Personalmente creo que desinstalar el sistema operativo en este caso mas que una solucion es una soplapollez , pero si es la solucion que te parece correcta , adelante (yo tengo por ahi un spectrum a la espera de algun problema irrresoluble por si te falla algo en tu ubuntu, si es que es posible que algo falle) . Qué no será lo que arregle un usuario de ubuntu con su ubuntu y esa sabiduria extra que aporta decir que lo utilizas y proponerlo como solucion y mejora a "cualquier cosa".
Lo del gentoo casi que paso, y los sabados a estas horas es que me gusta ser poco productivo. Sin acritud
#7 #13 Si el agujero de seguridad afecta solamente a la JVM de Oracle, como parece ser, la solución es instalar OpenJDK. En Linux esta es la distribución de java por defecto así que no hace falta hacer nada. En Windows/OSX solamente hace falta descargarse el instalador y asunto solucionado. Por ejemplo: http://community.openscg.com/se/openjdk/
#21 A mi con eso Minecraft me va de culo
#13 ... no me has entendido...
#13 perdona ,el que entendió mal fui yo.
#13 Si... lo siento pero a veces la mejor solución, es AMPUTAR.
#7 Ubuntu es lo más inseguro que hay, además es la distro de los lameruzos. Una Gentoo o una Arch como $DEITY manda o nada. Y si no sabes instalarlo, RTFM al canto, me da igual que no hayas tocado la consola en tu vida: búscalo en el puto Google, aprende a programar en C, a compilar el kernel, a utilizar git, bazaar y svn y a ajustar los parámetros de /etc. Y si tu hardware no está soportado compra otro y ves comprando hasta que encuentres uno que funcione.
[/el típico talibán con sus consejos sin sentido común]
#7 Ese sistema operativo esta por terminar, por eso es gratis, jajajaaaaaaaaaaaaaaa