Sun pone en peligro a los usuarios al escalonar sus parches de seguridad, según eEye

Sun Microsystems deja desprotegidos a millones de usuarios Java en peligro al escalonar la difusión de los parches de seguridad para su software, según la firma eEye Digital Security.


Para ilustrar el problema, eEye pone a modo de ejemplo un fallo descubierto en el entorno Java Runtime Environment, utilizado para correr programas escritos en lenguaje Java. Fue el pasado enero cuando eEye detectó un agujero serio en Java Network Launching Protocol, que sirve para correr programas Java sobre la Web. Se trata, según la compañía, de una vulnerabilidad que los hackers podrían explotar creando un sitio Web malicioso diseñado para instalar software no autorizado en cualquier PC con Java que lo visitara.


El parche para esta vulnerabilidad está disponible desde finales de junio, pero Sun todavía no lo ha enviado a los millones de usuarios Java con que cuenta a nivel mundial. Solamente ha lanzado una versión para desarrolladores en su página Java.sun.com" Target="1">http://java.sun.com/javase/downloads/index.jsp">Java.sun.com. retrasando la difusión general del parche.


Fase de pruebas adicional

El motivo de ello es que, así, los dasarrolladores pueden probar antes que la actualización en sí misma está libre de vulnerabilidades. Supone, por tanto, una fase adicional de prueba antes de ofrecer la solución a los clientes. Algo, en principio, digno de agradecer, pero el problema, según eEye, es que este proceso agranda la ventana temporal con que cuentan los criminales para explotar el fallo creando un código de ataque capaz de perjudicar a millones de usuarios.


Microsoft, al contrario que Sun, lanza todas sus actualizaciones de seguridad para todas las versiones de sus productos de forma simultánea. Pero Sun no es la única compañía que escalona sus actualizaciones. Oracle, por ejemplo, generalmente lanza parches de sus bases de datos para algunas de sus plataformas de sistema operativo menos populares semanas después de las actualizaciones de seguridad principales. 


Whitepaper emc-cio-it-as-a-service-wp Whitepapers