segunda-feira, 14 de janeiro de 2013

Java em Alerta!

Oracle corrige Java, mas preocupações com segurança continuam

Mesmo após correção da falha 0-day, que permite que intrusos instalem malware em sistemas vulneráveis, US-CERT aconselha usuários a desativarem software

A Oracle liberou o Java 7 update 11 (Java 7u11) no domingo (13/1), com a seguinte advertência assinada pela Equipe de Respostas às Emergências de Computadores dos Estados Unidos (US-CERT, em inglês, U.S. Computer Emergency Readiness Team) aconselhando os usuários a desativarem o software de segurança devido à grave - e até então desconhecida - vulnerabilidade. Mesmo com a correção disponível, o US-CERT, divisão do Departamento de Segurança Interna do país, ainda aconselha os usuários desativar o Java de seus sistemas, a menos que a execução do software seja "absolutamente necessária". A chamada falha 0-day foi ativamente usada para instalar secretamente um malware nos sistemas de vítimas inocentes e a falha afetou usuários de Windows, Mac e Linux, de acordo com o boletim de segurança do CERT.

A vulnerabilidade afeta as versões do Java 7, e não se aplica para o Java 6. O que o Java 7u11 faz A maior mudança para os usuários com a nova versão do Java é que, agora, todos os applets não-assinados e aplicações Web são "click-to-run". Isto significa que o usuário deve explicitamente autorizar o Java para rodar em seu navegador quase toda vez que ele se deparar com o Java enquanto navega. O Java é uma linguagem de programação multi-plataforma, muitas vezes usado em conteúdo online e aplicativos, como jogos e gráficos interativos. A correção da vulnerabilidade afeta apenas os usuários que executam o Java em seus navegadores e não se aplica a servidores, aplicações de desktop, ou aplicativos Java embutidos.

A Oracle está convidando os usuários a atualizarem seus sistemas o mais breve possível. "Devido à gravidade dessas vulnerabilidades", diz o alerta de segurança da Oracle. "A empresa recomenda que os clientes apliquem as atualizações fornecidas por este alerta de segurança o mais rápido possível." A recente brecha do Java levou alguns especialistas a acreditarem que o melhor a ser feito agora seria reescrever a linguagem de programação do zero, devido a sua popularidade em ataques a computadores. A mais recente vulnerabilidade Java foi identificada cerca de cinco meses depois de a Oracle lançar atualizações para três importantes falhas de segurança no final de agosto, duas das quais foram ativamente exploradas por crackers em ataques maliciosos. Você pode fazer o download da atualização do Java no site da Oracle. Se você quiser seguir o conselho do CERT e desabilitar o Java, a Oracle tem um guia de instruções passo a passo para usuários do Windows.

IDG / USA

Nenhum comentário: