Descubierta nueva vulnerabilidad en Java que permite la ejecución de código malicioso

mmm.. no es asi.. openjdk viene a ser la implementacion de facto de java7

Y actualmente el Java de Oracle está basado en openJDK, así que estamos en las mismas.

Pronto en Fedora veré otro parche para openJDK.

Por algo se empieza,una vez que tenga privilegios de usuario se puede mirar a ver si se puede hacer una escalada de privilegios explotando otras vulnerabilidades del sistema.

He pensado lo mismo, y en la tranquilidad que da un sistema multiusuario de verdad.

pues te equivocas, porque precisamente para el SO en donde hay más exploit para escalar privilegios es Linux (bueno depende de la distribución no todos funcionan en todas y demás).

Lo que más protege a Linux es ser minoritario.

En lo único que aqui en Windows es más problemático de cara a este problema, es porque casi todo el mundo en Windows usa cuentas de administrador y en Linux en cambio muy pocos trabajan normalmente como root... aunque a cambio, especialmenet en alguna distribuciones, es un coñazo estar seguido metiendo la contraseña, con lo que la seguridad se va a la mierda. Porque si hay que meter la contraseña de root cada 2 minutos, pues adios seguridad...

El peor problema de seguridad, es creerse a salvo y la mayoría de los usuarios de SO se creen a salvo (en parte por el mito montado). Y la realidad es muy diferente, todos los días salen xploits para atacar equipos con Linux, que es cierto que la mayor parte de los problemas se parchean a una velocidad increible, pero como aparecen al mismo ritmo que se parchea, si no es uno es otro... Aun me acuerdo de la época dorada de Senmail, de aquella es que hasta un tonto podía petar un server, incluso había sistemas automatizados que se iban actualizando tal como salian xploits y tal.

salu2

no me creo que haya xploits para linux todos los días

Bueno, las escaladas de privilegio, salvo cosas como las nVidia que escribía en una parte de la RAM donde no debía, suele ser gracias a sudo, que también es usado en OSX.

Eso si, las escaladas de privilegio suelen ser frecuentes en Linux, si, y es su principal problema de seguridad.

Sobre poner la contraseña cada dos por tres, depende de la distribución. OpenSuse se pide la contraseña hasta para ir al servicio (la pide para hasta instalar una impresora, actualizar o configurar una wifi), mientras que Fedora solo te la pide cuando instalas programas o quieres modificar un fichero que no está dentro de tu carpeta personal.

Yo no estoy a favor de lo que se hacía XP, cuenta de administrador y todo para delante, eso era lo que hacía Windows super inseguro y Microsoft tomó nota de ello poniendo un tercer escalón más, el del superusuario del sistema (cuenta Administrador, por defecto deshabilitada), que está por encima de los administradores del sistema y se dedica a proteger las partes más sensibles del sistema Windows.

http://www.kriptopolis.org/linux-virus-popularidad

Que es minoritario, y que quienes tienen linux, suelen aunque no siempre, tener más conocimientos que el resto.

Visto el tiempo pasado desde que Linux empezó el asalto al escritorio y lo poco conseguido, no creo que nunca sea un sistema mayoritario. Así que nunca podremos saber si es más o menos vulnerable o seguro que Windows.

http://www.kriptopolis.org/linux-virus-popularidad

Lo de los parches de Java ha sido de toda la vida vergonzoso. Casi parece una carrera Java-Flash.

tampoco esageremos, que lo de flash aun no tiene parangón en la corta historia de la informática. Aunque en la época dora firefox quiso superarlo, cuando el mismo fallo aparecio 28 veces entre noviembre del 2006 (en firefox 2.0.1, aunque también estaba presente en firefox 1.5.x) y que se soluciono definitivamente ya entrados en 2010. Realmente el fallo era único, pero como no lo solucionaron (lo intentaron ocultar), pues con modificar un poco el exploit u otros exploits que lobraban más o menos lo mismo, pues volvía a ser usable. Hasta que finalmente lo solucionaron por fin. Que por eso no es tan importante que se tarde más días en solucionar un problema, pero que se solucione de una vez, eso de esconderlo al final es contraproducente. Por eso lo de 3 semanas, aunque sea mucho, pues si lo solucionan definitivamente, pues no sera tanto. Lo de ocultarlo y dejarlo para el futuro la solución, al final esa solución nunca llega y se volverá a encontrar el fallo, incluso puede ser peor, porque hay verdaderos especialistas que después de parcheado un supuesto problema, pues se pasan semanas intentando volver a explotar el problema de formas ligeramente distintas (si solo se oculto, pues no se tarda mucho en volver a reventarlo)... y muchos de esos no publican cuando lo han vuelto a romper, sino que venden el exploit y la gente piensa que está a salvo y pasa lo que pasa.

salu2

No exagero. El principal problema es que las actualizaciones se lanzan sin cabeza. Lo logico es mandar un parche en el momento en que solucionan los problemas criticos, y para las actualizaciones "menores" esperar tres semanas. Enviar las actualizaciones siguiendo un sistema de fechas es dejar desprotegido al usuario.