9 fatos sobre a segurança do Java que você precisa saber

Mais da metade dos usuários do Java ainda estão rodando a versão 6, da qual a Oracle oficialmente aposentou na última semana. É hora de um recall com os usuários

Chamando todos os usuários de computadores: você sabia que há um ou mais plugins do Java instalados no seu Windows, Mac ou Linux? Sabe qual é a versão que roda na sua máquina? Centenas de milhões de PCs rodam o Java 7, assim como o Java 6, e para enfrentar os ataques e falhas contra a plataforma, a Oracle lançou um plano emergencial de atualizações para os dois.

Mais da metade dos usuários do Java ainda estão rodando a versão 6, da qual a Oracle oficialmente aposentou na última semana. Isso apenas destaca o fato de que as empresas, assim como os consumidores, não entendem o imperativo “atualizar ou deteriorar” em torno do uso do Java, e esses usuários mantém-se na linha de risco de ser atacado por hackers.

Aqui estão nove preocupações em torno da segurança, assim como da solução:

1. Ataques regulares ao Java vão continuar

No despertar das atividades de ataque contra o dia-zero de vulnerabilidades no Java está a o malware McRAT e, para isso, a Oracle lançou a atualização 17 para o Java 7 (pulando problemas de uma atualização 16) e o update 43 no Java 6 (pulando o 42). Ambos pacotes de atualização carregam correções críticas, uma deles, aliás, é para um bug que pode ser explorado pelos atacantes para comprometer por inteiro um PC. Necessário dizer, tanto a Oracle quanto especialistas de segurança em peso recomendam a atualização o mais rápido possível.

2. Os pacotes de vulnerabilidade da Oracle respondem à crescente velocidade

Uma série de vulnerabilidades de dia zero nos últimos meses deixaram usuários Java expostos a ataques ativos, sem recurso a mitigação, exceto para desativar o software, enquanto se aguarda uma atualização da Oracle. Ao mesmo tempo, a Oracle sofreu críticas por não ter publicamente resolvido as vulnerabilidades que estavam em curso ou não ter lidado com eles de uma forma ligeira.

Em sua defesa, a Oracle, no final de janeiro, prometeu mudar seus modos, e de fato, acionou um regime muito mais agressivo de atualização – evidenciamos, por exemplo, a companhia ter lançado três atualizações para o Java este ano.

3. Recomendação: desative o plugin do Java sempre que possível

Não importa o quão recentemente o Java tenha sido corrigido, a maioria dos especialistas em segurança recomendam desativar o plugin do navegador sempre que possível. Para as empresas, os departamentos de segurança de TI devem desativá-lo e ter a capacidade de fazer isso.

Para as pessoas que devem usar o plugin do navegador, especialistas em segurança recomendam sua instalação em um navegador secundário, e essa máquina só poderá ser usado em um site confiável. Essa abordagem não vai bloquear todos os tipos de ataques, mas vai ajudar muito.

4. A Oracle aposentou o Java 6

As atualizações lançadas esta semana para o Java 6 (update 43) serviu como último respito para a versão, que a Oracle aposentou oficialmente no mês passado – dizendo que a atualização 41 seria a última. Mas, sabidamente, a Oracle reconsiderou – tendo em vista a quantidade de ataques ativos sendo lançados contra o Java 6 – e lançou uma atualização para o Java 7, bem como o Java 6.

Quanto tempo as atualizações para o Java 6 vão continuar? Boa pergunta, pois a primeira vez que a Oracle falhar em corrigir um bug da versão 6 do Java, que esta sendo ativamente explorada por hackers, centenas de milhões de usuários de PC vão estar em risco.

5. O uso do Java 6 ainda é amplo – também no trabalho

Isso porque ao todo, o Java 6 e o Java 7 agora estão instalados em mais de um bilhão de computadores. Além disso, de acordo com o plugin de estatísticas do navegador Java sobre participação de mercado, recolhidos pela StatOwl.com – que analisa a configuração do sistema de visitantes de sites numerosos -, predominantemente para sites americanos, pelo menos 47% dos usuários de Java estão executando o Java 6, e 15% tem o Java 7 instalado. Mas StatOwl disse que não foi capaz de detectar a versão do Java em 33% dos casos, o que pode ser o resultado da atualização 10 do Java 7, da qual, entre as melhorias, havia uma máscara que impedia saber onde o Java estava instalado.

Curiosamente, a StatOwl.com descobriu que, para pessoas que usam conexões de internet nas empresas – em outras palavras, a navegação a partir de PCs de trabalho – 61% dos usuários estavam usando Java Java versão 6, versus 11% do Java 7, e 21% usando uma versão do Java que não pôde ser detectada.

6. O Java 6 será, as vezes, substituído automaticamente

Em fevereiro de 2013, a Oracle disse que as atualizações para o Java 6 Seriam definidas para atualizar automaticamente para o Java 7, com algumas ressalvas. De acordo com um FAQ da Oracle, a atualização não será silenciosa. “Todas as autoatualizações do Java vão solicitar a permissão do usuário antes de instalar uma nova versão de seu sistema”, disse.

Mas nem todos os Java 6 serão atualizados. Notadamente, se um usuário tem plugins Java 6 e Java 7 instalados, a atualização automática não vai acontecer. Além disso, “outras versões além da última (leia-se Java 7) não serão removidas, pois há casos em que um usuário, especialmente os usuários corporativos, precisam de mais do que uma versão do Java em seus sistemas”, explica.

7. Mainstream de déficit de consciência: o Java é um malware?
Para complicar o esforço de tirar as pessoas do Java 6, muitas pessoas não fazem ideia do que é o Java, o que faz e se é bom. Diferente de uma atualização do iTunes, as pessoas não fazem ideia do que significa a atualização do Java.
Curiosamente, o fato é que muitas pessoas ainda estão usando o Java 6 “de uma forma estranha … isso pode realmente ser um sinal de algo positivo: usuários finais não confiam em atualizações de algo que eles não sabem o que é".

8. Qual versão do Java continua incerta
Para agravar ainda mais a confusão do Java é o fato de que não há nenhuma técnica única e confiável para encontrar e catalogar todas as versões do Java que podem ser instaladas em um PC, ou até mesmo uma forma confiável de saber qual a versão do Java realmente é usada.

Enquanto isso, os atacantes têm explorado a confusão sobre o Java elaborando um malware que finge ser uma atualização do software da Oracle. Isso é um lembrete para instalar somente as atualizações obtidas a partir do site do Java (ou para usuários do Mac OS X, quando essas atualizações são distribuídas pela Apple).

9. Lições do Windows XP

Se o apego à vida do Java 6 persiste, é porque, muitas vezes, tecnologias antigas não desaparecem. Notavelmente, o fim do suporte para o Windows XP Service Pack 3 foi encerrado em 14 de abril de 2009, e os contratos de suporte estendido deixarão de rodar dentro de pouco mais de um ano, em 8 de abril de 2014. Mas em março de 2013, 39% de todos os PCs ainda estavam executando o Windows XP, colocando apenas atrás do Windows 7 (45%), mas muito à frente do Windows Vista (5%) e Windows 8 (3%) – Mac OS X (7%).

 

Fonte: ITWeb