Oracle corrige Java, mas especialistas ainda recomendam a sua desativação

A Oracle disponibilizou no último domingo (13/01/2013) uma versão do plug-in do Java que corrige uma falha de segurança bastante séria divulgada na semana passada. O problema, basicamente, permite que o computador seja acessado remotamente sem que o usuário autorize, permitindo a captura de dados sigilosos ou a instalação de malwares, por exemplo.

Após a sua divulgação, a vulnerabilidade passou a ser explorada rapidamente em diversos sites, inclusive no Brasil. Tamanha a gravidade da situação, que uma divisão especializada em segurança digital do governo dos Estados Unidos chegou a recomendar a desativação do Java, fato que serviu para reforçar as atenções ao problema e, possivelmente, fazer com que a Oracle agisse mais rápido.

A versão do plug-in do Java que corrige a falha (7, update 11) já pode ser obtida por quem mantém as notificações de atualização ativas. Na dúvida, basta instalar o Java a partir do site java.com/pt_BR/download, que sempre oferece a última edição. Vale lembrar que, durante a instalação, uma tela pode aparecer pedindo para que o usuário instale o “Ask Toolbar”. É recomendável desmarcar esta opção, do contrário, uma barra incômoda (e inútil) da Ask poderá ser instalada em seu navegador.

Para alguns especialistas em segurança, no entanto, não está claro se a atualização do Java corrige o problema de maneira efetiva, até porque o bug já era conhecido pela Oracle desde agosto de 2012, mas a correção lançada pela empresa cerca de dois meses depois não foi suficiente para acabar com vulnerabilidade . Além disso, há a suspeita de que outras falhas descobertas há tempos continuam sem correção.

A Oracle afirma que, além da correção, aumentou as configurações padrão de segurança do Java de médio para alto, mas nem isso parece convencer: os especialistas ainda recomendam a desativação do plug-in nos navegadores. É o caso de Adam Gowdiak, da empresa Security Explorations, e de HD Moore, da Rapid7.

O problema é que não é todo usuário que pode se dar ao luxo de não utilizar o Java. Muitas empresas necessitam do plug-in no navegador para executar suas aplicações. No Brasil, por exemplo, é comum o uso da ferramenta em serviços de internet banking. Para estes casos, felizmente, há outras armas. A Mozilla, por exemplo, ativou o recurso “Click to Play” do Firefox, que sempre pede autorização ao usuário para executar código em Java, diminuindo os riscos.

Referências: The Guardian, The Next Web.





Nenhum comentário

Comentários encerrados.