Recientemente la maquina virtual de Java y más específicamente el plugin de Java para exploradores web ha sido duramente criticado por errores graves de seguridad, donde en algunas plataformas se resolvía con actualizar la versión de Java y en otras dependia de la implementación propia y cerrada
A decir verdad los errores de Software que pueden derivar en una falla de seguridad grave le ocurren a la mayoría de los productos, idealmente mientras menos ocurran es mejor, pero están presentes en Linux, Windows, Mac por dar algunos ejemplos o plataformas superseguras como OpenBSD con backdoors del FBI incluidos.
¿Entonces porque decimos que un Software es más seguro que otro o porque decimos que una plataforma de desarrollo es más segura que otra?. Ademas de la frecuencia de aparición de errores que desde mi punto de vista es la métrica más visible, otro factor bastante importante es como estos errores son abordados y es un problema del que Oracle esta aun aprendiendo a reaccionar porque a diferencia de sus bases de datos que comúnmente están aisladas tras varios firewall, acceder y explotar una vulnerabilidad en el plugin de la maquina virtual de Java es más simple respecto al numero de puntos de control que deben ser burlados.
Hace tres dias Ars Technica (en ingles) publico un reportaje respecto a una vulnerabilidad critica en Java que preocupo a varios lideres de la comunidad Java a nivel mundial (y a su servidor por andar de metido en conversaciones de grandes) sobre todo porque ya han sido dos golpes grandes en menos de 6 meses. A mi parecer el tono noticia es un poco amarillista, pero cuando la seguridad esta en juego el amarillo realmente es un buen color para decir que algo esta pasando y eso no justifica la pobre administración que Oracle realiza (o realizaba?) respecto a los zero day bugs.
Una de las cosas que me gusta del Software Libre es la transparencia de errores críticos en casos tan notables como Debian o Gentoo, donde los errores son revelados lo más antes posible y a su vez los parches son liberados en un tiempo corto. Sin embargo en el reportaje de Ars Technica a pesar de sus reiterados intentos por obtener una respuesta por parte de Oracle, la única información clara y oficial era que a pesar de la gravedad del bug el plan de actualización seguirá como si nada hubiera pasado escondiendo todo bajo la alfombra. Si, yo también vi eso como un error garrafal.
Pero no todo ha sido malo para Java desde el cambio de dueño y Oracle esta reaccionando más rápido de lo que esperaríamos invirtiendo en esta área fundamental a petición de la comunidad (aunque usted no lo crea). Luego de una breve discusión acerca de la inminente necesidad de un jalón de orejas por el impacto que pueden tener estos errores en productos más nuevos como JavaFX, fue presentado a la comunidad Milton Smith como la nueva persona a cargo de la seguridad de Java SE y literalmente lo tiraron a los leones para que hubiera comunicación de ideas con la gente que usa Java en la calle.
Luego de una breve discusión del reportaje de Ars Technica la respuesta del mismo Milton fue que un nuevo lanzamiento de Java estaba listo para instalar, ademas de que se habia elevado la alerta de seguridad y esto traería una pequeña modificación en la numeración de versiones de Java. Para los que están acostumbrados a desarrollar Software saben que este tipo de cosas no son como encender la tele y ver el programa de Chabelo, la respuesta fue muy rápida hablando en tiempos de desarrollo.
El FUD ya esta hecho y con la popularidad de Java en juego veremos si es suficiente la buena voluntad y lanzamientos más frecuentes, por mi parte me encanta el valor agregado que genera escuchar a la comunidad :D.
The Incutio XML-RPC PHP Library -- WordPress/3.5
[…] noticias respecto a subsecuentes agujeros de seguridad en la maquina virtual de Java. Hace un tiempo escribí un poco al respecto de los planes que tiene Oracle, sin embargo hay información nueva vale la pena resaltar para […]