_Cibersegurança

Oracle atualiza Java, mas especialistas dizem que ele ainda não é seguro

A falha do Java descoberta na última quinta-feira foi corrigida: a Oracle já lançou o update 11 para a versão 7 do software. No entanto, vários especialistas ainda dizem que o programa está longe de ser seguro. De acordo com as release notes, a nova versão “contém consertos para vulnerabilidades de segurança”. Além disso, a configuração padrão do […]

A falha do Java descoberta na última quinta-feira foi corrigida: a Oracle já lançou o update 11 para a versão 7 do software. No entanto, vários especialistas ainda dizem que o programa está longe de ser seguro.

De acordo com as release notes, a nova versão “contém consertos para vulnerabilidades de segurança”. Além disso, a configuração padrão do Nível de Segurança passou de “média” para “alta”. Isto significa que o usuário sempre será consultado antes de qualquer applet ou aplicativo não assinado ser executado, o que previne que eles rodem escondidos na sua máquina.

Então, tudo ok, posso voltar a habilitar o Java? É melhor não: especialistas não parecem muito confiantes no reparo feito pela Oracle. Adam Gowdiak, da Security Explorations, empresa polonesa especializada em procurar falhas no Java, disse à Reuters que ainda há falhas de segurança críticas. “Não ousamos dizer aos usuários que é seguro voltar a habilitar o Java.”

O Departamento de Segurança Interna dos Estados Unidos faz coro com Gowdiak e também não recomenda a volta ao Java. “A menos que seja absolutamente necessário operar o Java em navegadores, desabilitem-no”, afirma o departamento em seu site.

Charlie Miller, engenheiro de computação do Twitter, ex-consultor de segurança de grandes empresas e ex-analista do Departamento de Segurança Interna dos EUA, também disse à Reuters que o problema é de longa data. “Não é como se o Java tivesse ficado inseguro de repente. É inseguro há anos.”

De fato, Gowdiak já havia afirmado, logo após a descoberta da vulnerabilidade, que esta falha não existiria se uma anterior, de agosto de 2012, tivesse sido devidamente reparada. Além disso, a Red October, rede de ciberespionagem descoberta pela Kaspersky, também se aproveitava de falhas no Java, de acordo com a Seculert.

Talvez não seja mesmo o melhor momento para deixar o Java habilitado. Desabilite-o e pense duas vezes antes de usá-lo. Todo cuidado é pouco. [The Next Web e Reuters 1, 2]

Foto por Joey Rozier/Flickr

Sair da versão mobile