5 comentarios

Mozilla se plantea quitar Java de Firefox para proteger a los usuarios de Beast

Security

Image by tomswift46 (No Groups with Comments) via Flickr

La cosa es así, en el pasado Ekoparty un grupo de desarrolladores demostró como era posible bulnerar el cifrado SSL/TSL gracias a una grave vulnerabilidad en Java, propiedad de Oracle y sus políticas cada vez más cerradas.

Bajo el nombre de Beast (Browser Exploit Against SSL/TLS) se escondía un código JavaScript que funcionaba como sniffer y descifraba las cookies con credenciales de los usuarios para acceder a las cuentas y por lo tanto atacaba a la confidencialidad del protocolo. La demostración en la conferencia, consiguiendo recuperar una cookie de autenticación utilizada para acceder a una cuenta cifrada de un usuario en PayPal, alertó a todos los proveedores de navegadores, quienes desde entonces trabajan a contrarreloj para añadir parches.

Alertados de la situación, los programadores de los Navegadores comenzaron a trabajar en parches, Chrome ha recibido una actualización, pero el parche genera muchísimas incompatibilidades con cientos de webs y no es netamente efectivo; lo mismo están haciendo Microsoft, Mozilla y demás; buscando una alternativa que permita resguardar a sus usuarios; para ello están probando con parches hasta encontrar el que genere menos incompatibilidades con el millar de webs que están dando vueltas.

El agujero de seguridad es común a todos los browsers ya que se encuentra en Java y, hasta ahora, Oracle no da indicios de solución alguna. Por eso es que en Mozilla están analizando una solución bastante radical pero con la intención de proteger a los usuarios; quitar Java del navegador, al menos hasta que se solucione el inconveniente. Hay que destacar que es sólo una de las alternativas que se manejan.

“Yeah – this is a hard call. Killing Java means disabling user functionality like facebook video chat, as well as various java-based corporate apps (I feel like Citrix uses Java, for instance?)”

Firefox Director of Engineering, Johnathan Nightingale

Eso tendría sus consecuencias, no se podrá ejecutar ninguna web que requiera Java, por ejemplo, el chat de Facebook, quien dejará de funcionar; lo que repercutiría de forma desfavorable en los usuarios y, sobre todo, en el mundo empresarial.

Sólo la versión 1.0 de SSL es la que puede ser vulnerada por el bache de seguridad de Java; Firefox 7 tiene soporte para SSL 1.1, versión que no se ve afectada; el problema radica en que muy pocas webs tienen soporte para la versión 1.1 de SSL.

Sin dudas que la solución más simple sería que Oracle arreglara el problema, pero hasta ahora, no hay noticia alguna. Según las políticas de Ekoparty, cuando se descubre un bache de seguridad, se avisa primero al encargado del programa vulnerable, sólo después de no recibir respuesta o reacción alguna por parte de éste es que se da a conocer la noticia.

¿Por qué mencioné a Oracle y sus políticas?, simple; si bien las licencias de Java fueron siempre un dolor de cabeza, con Oracle más. Si Java fuera completamente open source, u Oracle no fuera tan “Oracle” actualmente los esfuerzos estarían enfocados en solucionar el bug y no ver que hacer con el navegador por deficiencias en un producto tan universalmente extendido.

Tanto es el desconcierto que generan estas licencias que no se sabe si IcedTea también tiene esta vulnerabilidad, pero en principio estos son los nombres de los plugins que podrían entrar en la lista negra:

Josh Aas (Mozilla Corporation) 2011-09-27 16:12:41 PDT

The file names for the Java plugins are:

Mac OS X: JavaPlugin2_NPAPI.plugin
Windows: npjp2.dll
Linux: libjavaplugin.so, libnpjp2.so, IcedTeaPlugin.so

Note that I included the Iced Tea plugin in the Linux list. Not sure if we’ve determined that it has a problem or not.

If we choose to go ahead with this block we probably want to apply it to all versions for all users.

Josh Aas

Si la vulnerabilidad no afecta a IcedTea [1] (si lo hace podría ser resuelto por la comunidad, habrían problemas si se basa en OpenJDK7, en principio), los que lo utilizamos no tenemos de qué preocuparnos.

NOTA: Fedora, Ubuntu y otras distribuciones incluyen IdedTead en sus repositorios. De forma tal que plataformas no Linux se verían al margen, en principio.

Veremos que sucede con el bug, que resolución toman en general y en particular los muchachos de Mozilla.

Fuente, Alt1040

Acerca de Martín Casco

Abogado, Socio del "Estudio Yaccuzzi & Casco"

5 comentarios el “Mozilla se plantea quitar Java de Firefox para proteger a los usuarios de Beast

  1. Información Bitacoras.com…

    Valora en Bitacoras.com: La cosa es así, en el pasado Ekoparty un grupo de desarrolladores demostró como era posible bulnerar el cifrado SSL/TSL gracias a una grave vulnerabilidad en Java, propiedad de Oracle y sus políticas cada vez más cerradas……

  2. […] tener en mente dos hechos importantes, en primer lugar el grave bug en Java y su falta de resolución por parte de Oracle en Java6 que provocó que desarrolladores, como los […]

  3. […] tener en mente dos hechos importantes, en primer lugar el grave bug en Java y su falta de resolución por parte de Oracle en Java6 que provocó que desarrolladores, como los […]

  4. […] paquetes de Java de Oracle como contrapartida a varios errores y bugs que fueron presentados en la última Ekoparty y el retiro de la licencia DLJ por parte de Oracle para poder distribuir Java con aplicaciones […]

  5. […] tener en mente dos hechos importantes, en primer lugar el grave bug en Java y su falta de resolución por parte de Oracle en Java6 que provocó que desarrolladores, como los […]

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: