Con la actualización número 10 de Java 7, Oracle instauró distintos niveles de seguridad que los propios usuarios pueden seleccionar según sus necesidades. El nivel más alto puede suprimir la ejecución de aplicaciones Java no firmadas en el navegador, ya sea totalmente, o solicitando al usuario aceptar cada ejecución específica.
Las aplicaciones son normalmente firmadas por una tercera parte confiable y constituyen una certificación formal de que la aplicación descargada proviene de una fuente acreditada.
Por ende, la mayoría de las aplicaciones malignas para Java no están firmadas, y debería ser posible bloquearlas cuando el usuario selecciona uno de los dos niveles superiores de seguridad de la propia herramienta.
Sin embargo, el experto Adam Gowdiak, de la compañía polaca de seguridad informática Security Explorations, quien ha alcanzado renombre como uno de los principales expertos en la seguridad de Java, califica lo anterior de “sólo una teoría” cuyo funcionamiento práctico dista mucho de la descripción hecha por Oracle.
Según un comentario hecho por Gowdiak en la lista Full Disclosure, “en la práctica es posible ejecutar código no firmado (y maligno) sin que se genere advertencia alguna en las preferencias de seguridad configuradas en panel de control de Java”.
Gowdiak ha revelado la mayoría de las vulnerabilidades de Java durante el último año, incluso llegó a comparar con “las setas del bosque”. Por ahora, la lista consiste de 53 vulnerabilidades de Java.
Gowdiak dice haber constatado que código de Java no firmado puede ser ejecutado en sistemas Windows independientemente de las preferencias activadas por el usuario en el panel de control de Java. Gowdiak hace referencia a ensayos prácticos, según los cuales lo anterior es posible en entornos donde está instalada la actualización Java SE 7 Update 11 (JRE versión 1.7.0_11-b21) en Windows 7, incluso al seleccionarse la opción muy alta en el panel de control (ver ilustración).
Gowdiak finaliza su comentario señalando que las mejoras hechas por Oracle en Java SE 7 en realidad no tienen efecto alguno para impedir los ataques. Agrega que “los usuarios que necesiten ejecutar contenidos basados en Java en su navegador se ven sencillamente en la necesidad de confiar en la tecnología “Click to Play”, implantada en varios navegadores, con el fin de reducir el riesgo de ser víctimas de ataques vía Java.
Chrome, Firefox y Opera ofrecen la función Click to Play mencionada por Gowdiak. Sin embargo, funciona de distintas formas en los navegadores, y no está necesariamente activada como estándar.