La actualización mencionada, que venía a tapar uno de los peores agujeros de Java que se recuerdan, y eso ya es decir, hablando de una de las piezas de software que sin duda figuran para estar en el podio de las vulnerabilidades, mejoraba también un apartado del que hablamos en MuySeguridad hace unas fechas: configurar diferentes niveles de seguridad.

De hecho, la nueva característica se estrenó deshabilitada por defecto, algo que no comprendimos y con lo que ahora rectifican desde Oracle, permitiendo solo la ejecución de módulos firmados, lo que supone un varapalo para muchos de los que se dedican a explotar este software.

Sin embargo, la inseguridad sigue presente en Java, y la recomendación de los expertos es unánime: no lo utilices. Aunque tampoco es de extrañar: el agujero 0-Day de la semana pasada era conocido por la compañía desde agosto, y seguía sin ser resuelto.

Fuente: muyseguridad