La última acción de Oracle sobre estos problemas fue la actualización número 10 de Java 7, en la que la empresa incorporó distintos niveles de seguridad que los propios usuarios pueden seleccionar según sus necesidades. El nivel más alto puede suprimir la ejecución de aplicaciones Java no firmadas en el navegador, ya sea totalmente, o solicitando al usuario aceptar cada ejecución específica.
Las aplicaciones son normalmente firmadas por una tercera parte confiable y constituyen una certificación formal de que la aplicación descargada proviene de una fuente acreditada. Por ende, la mayoría de las aplicaciones malignas para Java no están firmadas, y debería ser posible bloquearlas cuando el usuario selecciona uno de los dos niveles superiores de seguridad de la propia herramienta.
Sin embargo, el experto Adam Gowdiak, de la compañía polaca de seguridad informática Security Explorations, quien ha alcanzado renombre como uno de los principales expertos en la seguridad de Java, calificó lo anterior de “sólo una teoría” cuyo funcionamiento práctico dista mucho de la descripción hecha por Oracle.
Según un comentario publicado por Gowdiak en su blog, “en la práctica es posible ejecutar código no firmado (y maligno) sin que se genere advertencia alguna en las preferencias de seguridad configuradas en panel de control de Java”.
El experto dice haber constatado que código de Java no firmado puede ser ejecutado en sistemas Windows independientemente de las preferencias activadas por el usuario en el panel de control de Java. Hace referencia a ensayos prácticos, según los cuales lo anterior es posible en entornos donde está instalada la actualización Java SE 7 Update 11 (JRE versión 1.7.0_11-b21) en Windows 7, incluso al seleccionarse la opción muy alta en el panel de control.
Gowdiak finaliza su comentario señalando que las mejoras hechas por Oracle en Java SE 7 en realidad no tienen efecto alguno para impedir los ataques. Agregó que “los usuarios que necesiten ejecutar contenidos basados en Java en su navegador se ven sencillamente en la necesidad de confiar en la tecnología “Click to Play”, implantada en varios navegadores, con el fin de reducir el riesgo de ser víctimas de ataques vía Java.
Chrome, Firefox y Opera ofrecen la función Click to Play mencionada por Gowdiak. Sin embargo, funciona de distintas formas en los navegadores, y no está necesariamente activada como estándar.
