Mais da metade dos usuários do Java
ainda estão rodando a versão 6, da qual a Oracle oficialmente aposentou
na última semana. É hora de um recall com os usuários
Chamando todos os usuários de computadores: você sabia que há um ou
mais plugins do Java instalados no seu Windows, Mac ou Linux? Sabe qual é
a versão que roda na sua máquina? Centenas de milhões de PCs rodam o
Java 7, assim como o Java 6, e para enfrentar os ataques e falhas contra
a plataforma, a Oracle lançou um plano emergencial de atualizações para
os dois.
Mais da metade dos usuários do Java ainda estão rodando a versão 6,
da qual a Oracle oficialmente aposentou na última semana. Isso apenas
destaca o fato de que as empresas, assim como os consumidores, não
entendem o imperativo “atualizar ou deteriorar” em torno do uso do
Java, e esses usuários mantém-se na linha de risco de ser atacado por
hackers.
Aqui estão nove preocupações em torno da segurança, assim como da solução:
1. Ataques regulares ao Java vão continuar
No despertar das atividades de ataque contra o dia-zero de
vulnerabilidades no Java está a o malware McRAT e, para isso, a Oracle
lançou a atualização 17 para o Java 7 (pulando problemas de uma
atualização 16) e o update 43 no Java 6 (pulando o 42). Ambos pacotes de
atualização carregam correções críticas, uma deles, aliás, é para um
bug que pode ser explorado pelos atacantes para comprometer por inteiro
um PC. Necessário dizer, tanto a Oracle quanto especialistas de
segurança em peso recomendam a atualização o mais rápido possível.
2. Os pacotes de vulnerabilidade da Oracle respondem à crescente velocidade
Uma série de vulnerabilidades de dia zero nos últimos meses deixaram
usuários Java expostos a ataques ativos, sem recurso a mitigação, exceto
para desativar o software, enquanto se aguarda uma atualização da
Oracle. Ao mesmo tempo, a Oracle sofreu críticas por não ter
publicamente resolvido as vulnerabilidades que estavam em curso ou não
ter lidado com eles de uma forma ligeira.
Em sua defesa, a Oracle, no final de janeiro, prometeu mudar seus
modos, e de fato, acionou um regime muito mais agressivo de atualização –
evidenciamos, por exemplo, a companhia ter lançado três atualizações
para o Java este ano.
3. Recomendação: desative o plugin do Java sempre que possível
Não importa o quão recentemente o Java tenha sido corrigido, a
maioria dos especialistas em segurança recomendam desativar o plugin do
navegador sempre que possível. Para as empresas, os departamentos de
segurança de TI devem desativá-lo e ter a capacidade de fazer isso.
Para as pessoas que devem usar o plugin do navegador, especialistas em
segurança recomendam sua instalação em um navegador secundário, e essa
máquina só poderá ser usado em um site confiável. Essa abordagem não vai
bloquear todos os tipos de ataques, mas vai ajudar muito.
4. A Oracle aposentou o Java 6
As atualizações lançadas esta semana para o Java 6 (update 43) serviu
como último respito para a versão, que a Oracle aposentou oficialmente
no mês passado – dizendo que a atualização 41 seria a última. Mas,
sabidamente, a Oracle reconsiderou – tendo em vista a quantidade de
ataques ativos sendo lançados contra o Java 6 – e lançou uma atualização
para o Java 7, bem como o Java 6.
Quanto tempo as atualizações para o Java 6 vão continuar? Boa
pergunta, pois a primeira vez que a Oracle falhar em corrigir um bug da
versão 6 do Java, que esta sendo ativamente explorada por hackers,
centenas de milhões de usuários de PC vão estar em risco.
5. O uso do Java 6 ainda é amplo – também no trabalho
Isso porque ao todo, o Java 6 e o Java 7 agora estão instalados em
mais de um bilhão de computadores. Além disso, de acordo com o plugin de
estatísticas do navegador Java sobre participação de mercado,
recolhidos pela StatOwl.com – que analisa a configuração do sistema de
visitantes de sites numerosos -, predominantemente para sites
americanos, pelo menos 47% dos usuários de Java estão executando o Java
6, e 15% tem o Java 7 instalado. Mas StatOwl disse que não foi capaz de
detectar a versão do Java em 33% dos casos, o que pode ser o resultado
da atualização 10 do Java 7, da qual, entre as melhorias, havia uma
máscara que impedia saber onde o Java estava instalado.
Curiosamente, a StatOwl.com descobriu que, para pessoas que usam
conexões de internet nas empresas – em outras palavras, a navegação a
partir de PCs de trabalho – 61% dos usuários estavam usando Java Java
versão 6, versus 11% do Java 7, e 21% usando uma versão do Java que não
pôde ser detectada.
6. O Java 6 será, as vezes, substituído automaticamente
Em fevereiro de 2013, a Oracle disse que as atualizações para o Java 6
Seriam definidas para atualizar automaticamente para o Java 7, com
algumas ressalvas. De acordo com um FAQ da Oracle, a atualização não
será silenciosa. “Todas as autoatualizações do Java vão solicitar a
permissão do usuário antes de instalar uma nova versão de seu sistema”,
disse.
Mas nem todos os Java 6 serão atualizados. Notadamente, se um usuário
tem plugins Java 6 e Java 7 instalados, a atualização automática não
vai acontecer. Além disso, “outras versões além da última (leia-se Java
7) não serão removidas, pois há casos em que um usuário, especialmente
os usuários corporativos, precisam de mais do que uma versão do Java em
seus sistemas”, explica.
7. Mainstream de déficit de consciência: o Java é um malware?
Para complicar o esforço de tirar as pessoas do Java 6, muitas pessoas não fazem ideia do que é o Java, o que faz e se é bom. Diferente de uma atualização do iTunes, as pessoas não fazem ideia do que significa a atualização do Java.
Curiosamente, o fato é que muitas pessoas ainda estão usando o Java 6
“de uma forma estranha … isso pode realmente ser um sinal de algo
positivo: usuários finais não confiam em atualizações de algo que eles
não sabem o que é".
8. Qual versão do Java continua incerta
Para agravar ainda mais a confusão do Java é o fato de que não há
nenhuma técnica única e confiável para encontrar e catalogar todas as
versões do Java que podem ser instaladas em um PC, ou até mesmo uma
forma confiável de saber qual a versão do Java realmente é usada.
Enquanto isso, os atacantes têm explorado a confusão sobre o Java
elaborando um malware que finge ser uma atualização do software da
Oracle. Isso é um lembrete para instalar somente as atualizações obtidas
a partir do site do Java (ou para usuários do Mac OS X, quando essas
atualizações são distribuídas pela Apple).
9. Lições do Windows XP
Se o apego à vida do Java 6 persiste, é porque, muitas vezes,
tecnologias antigas não desaparecem. Notavelmente, o fim do suporte para
o Windows XP Service Pack 3 foi encerrado em 14 de abril de 2009, e os
contratos de suporte estendido deixarão de rodar dentro de pouco mais de
um ano, em 8 de abril de 2014. Mas em março de 2013, 39% de todos os
PCs ainda estavam executando o Windows XP, colocando apenas atrás do
Windows 7 (45%), mas muito à frente do Windows Vista (5%) e Windows 8
(3%) – Mac OS X (7%).
Fonte: ITWeb