¿Por qué el complemento Java (JRE) está deshabilitado en Chrome?

¿Por qué Java está deshabilitado en Chrome? ¿Es algún problema de seguridad?

Las razones que motivaron la desactivación de NPAPI, y por lo tanto de Java, incluyen las siguientes según el Blog de Chromium:

• Seguridad incrementada
• mayor velocidad
• Mayor estabilidad
• Reducción de la complejidad del código
• Reducción de accidentes
• Reducción de cuelgues
• Falta de soporte para dispositivos móviles.

Nota:

• Firefox también dejará de admitir NPAPI - VerComplementos NPAPI en Firefox:

  Los complementos son una fuente de problemas de rendimiento, fallas e incidentes de seguridad para los usuarios de la Web.

  Mozilla tiene la intención de eliminar la compatibilidad con la mayoría de los complementos NPAPI en Firefox para finales de 2016.

---

¿Por qué podría ser peligroso para los usuarios de Chrome con la última versión de Java JRE instalada?

Respuesta corta: Explotaciones de día cero.

Otra fuente de vulnerabilidades es el hecho de que Java no ha lanzado un actualizador automático que no requiera la intervención del usuario ni derechos administrativos. Por ejemplo, Google Chrome y Flash Player lo tienen. Esta función permite a los usuarios obtener actualizaciones automáticas sin que se les solicite que realicen ninguna acción, lo que facilita las actualizaciones.

Por falta de un sistema de actualizaciones automáticas, muchos usuarios ignoran las actualizaciones de Java e incluso temen instalarlas, debido a malware que utilizó actualizaciones de Java como vector de infección en el pasado o experiencias similares.

Sólo debes saber que todas estas vulnerabilidades son lo que les sirve a los ciberdelincuentes.

...

Los datos extraídos de nuestra propia base de datos confirman que Java es la segunda mayor vulnerabilidad de seguridad que requiere parches constantes, después del complemento Flash de Adobe.

Solo en 2015, ya implementamos 105925 parches para Java Runtime Environment para nuestros clientes.

Lea el resto del artículo para obtener una explicación detallada y comentarios.

Fuente¿Por qué las vulnerabilidades de Java son uno de los mayores agujeros de seguridad en su computadora?

---

La cuenta atrás final para NPAPI

En septiembre pasado anunciamos nuestro plan para eliminar la compatibilidad con NPAPI de Chrome, un cambio que mejorará la seguridad, la velocidad y la estabilidad de Chrome, además de reducir la complejidad del código base.

FuenteLa cuenta atrás final para NPAPI

---

Decir adiós a nuestro viejo amigo NPAPI

La arquitectura de la década de 1990 de NPAPI se ha convertido en una de las principales causas de bloqueos, fallos, incidentes de seguridad y complejidad del código. Debido a esto, Chrome eliminará gradualmente la compatibilidad con NPAPI durante el próximo año. Creemos que la web está lista para esta transición. NPAPI no es compatible con dispositivos móviles y Mozilla planea hacer que todos los complementos, excepto la versión actual de Flash, se reproduzcan con un clic de forma predeterminada.

FuenteDecir adiós a nuestro viejo amigo NPAPI

Comoexplicado por google, la API del complemento Netscape (NPAPI) era necesaria en los primeros días de los navegadores web para ampliar sus funciones. Desafortunadamente, proporcionó acceso a la máquina subyacente. Por lo tanto, si el complemento contenía una vulnerabilidad y un atacante la explotaba, el atacante pasaba por alto el sandboxing del navegador y tenía acceso a la máquina.

Estos vectores de ataque se han utilizado mucho en el pasado para infectar máquinas, lo que lleva al consejo de desactivar Java en su navegador. Muchas funciones proporcionadas por los complementos de Java ahora las incluye el propio navegador (por ejemplo, HTML5) con mejor rendimiento y seguridad o con extensiones que se ejecutan en un entorno limitado (por ejemplo,NaCL). Es por eso que se tomó la decisión de ya no admitir complementos de Java: alto riesgo, pero no es realmente necesario.

Durante mucho tiempo se ha producido un alejamiento de Java, junto con otros complementos como Flash o Silverlight, en la web. Uno de los objetivos de HTML5 era crear un marco donde no se necesitaran complementos (de ahí etiquetas como <audio>y <video>). A estas alturas, la única razón para admitir Java es la compatibilidad con sistemas heredados que probablemente ya deberían haberse retirado de todos modos.

Entonces, ¿por qué los complementos como Java son una amenaza para la seguridad? Porque la historia ha demostrado que siempre habrá un flujo constante de agujeros de seguridad que permitirán una multitud de exploits. Es intrínsecamente más difícil proteger una máquina virtual que ejecuta código de bytes de Java que proteger un lenguaje de script interpretado como JavaScript. Sólo echa un vistazo aestas estadisticas.

Como usted dice, es una buena práctica mantener actualizados sus complementos. Pero eso no es suficiente. Primero, mucha gente no lo hace. Recientemente se reveló que incluso el equivalente sueco de la NSA estaba ejecutando complementos Java obsoletos con vulnerabilidades de seguridad conocidas. Si no pueden hacerlo bien, ¿espera que el usuario doméstico promedio lo haga? En segundo lugar, no hay forma de protegerse de los días cero. No importa qué tan rápido Oracle produzca parches, usted estará en riesgo.

Incluso Oracle ha reconocido que la era de los subprogramas de Java ha terminado. DeArs Técnica(enero de 2016):

Oracle va a eliminar el tan difamado complemento del navegador Java, fuente de tantas fallas de seguridad a lo largo de los años. No será de luto.

Oracle, que adquirió Java como parte de la compra de Sun Microsystems en 2010, haAnunciadoque el complemento quedará obsoleto en la próxima versión de Java, la versión 9, que actualmente está disponible como versión beta de acceso temprano. Una versión futura lo eliminará por completo.