Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Atualização do Java deveria ser mais simples, diz expert

22/10/2010

Uma opção, na perspectiva de analista de segurança, seria o casamento entre a Microsoft e a distribuidora do Java, Oracle.

A atualização do Java deveria ser mais simples. Essa é a opinião do especialista em segurança Wolfgang Kandek, CTO da empresa Qualys. Para ele, a Oracle deveria se associar aos serviços de atualização de softwares da Microsoft para acelerar a distribuição de versões do Java mais robustas.

“A solução seria ideal para se livrarem de vários aplicativos de atualização diferentes que existem por aí e colaborar com a MS para acoplar as atualizações do Java ao Windows Update ou ao Windows Server Update Service (WSUS), usado por várias empresas para manter a saúde dos servidores sempre a frente de eventuais ameaças”, opina.

De acordo com informações obtidas junto ao serviço de verificação de browsers da Qualys, oito em cada dez PCs munidos do sistema operacional Windows executam uma ou várias versões distintas da máquina Java. Com isso, o software da Oracle chega a se equivaler em popularidade ao Acrobat Reader da Adobe, perdendo apenas para o Flash.

Versões ultrapassadas
Entre os sistemas verificados, 40% rodavam uma versão ultrapassada do Java que continha pelo menos uma falha crítica. Com esse resultado, a plataforma da Oracle encabeça a lista de softwares carentes de atualização. Até os softwares recém-promovidos a vilões, Flash e Reader, ambos da Adobe, oferecem opções de atualização mais simples e eficientes de correção.

“Quem distribui malwares, passa o dia à procura de novas maneiras de seqüestrar o controle sobre os sistemas alheios”, adverte Kandek. “Acontece que os sistemas operacionais se tornaram extremamente robustos, restando aos programadores mal intencionados a opção de explorar falhas de máquinas executadas dentro do ambiente de SOs”.

Dois anos depois, 3,5 milhões de ataques
Não é por acaso que Kandek menciona as vulnerabilidades do Java. No início dessa semana a equipe da Microsoft de combate a malwares declarou que uma onda de ataques sem precedentes estava explorando uma falha antiga do Java. O alerta da Microsoft dá conta de 3,5 milhões de ataques com vistas a se aproveitar da brecha no Java. A real dimensão dessa onda fica evidente se verificarmos que houve 6 milhões de ataques registrados no total e que o bug em questão já havia sido objeto de correção por parte da Oracle há dois anos.

“Se, na primeira fase, os ataques visavam as suítes do MS Office, a segunda leva de tentativas tinha na mira os aplicativos mencionados anteriormente da Adobe. Como resultado, as atenções ao Java crescem sensivelmente”, dia Kandek. As condições oferecidas pelo Java fazem dele o candidato ideal para ataques por parte de hackers: ele roda em um altíssimo número de computadores, contém inúmeras falhas conhecidas e é, assim por dizer, o patinho feio dos departamentos de TI, mais preocupados em dar conta de outras questões nas empresas, do que atualizar o Java máquina por máquina.

O desafio
Kandek reconhece que a adesão da Microsoft à distribuição dos pacotes Java atualizados é uma operação que demanda planejamento e execução impecáveis. Mas o CTO admite que “se puderem cooperar, o resultado serão clientes Windows mais robustos”.

O Java mantém um serviço de atualização próprio, mas ele tem sido alvo de críticas por funcionar mal e por demorar na notificação de usuários. Além disso, ele permite a execução de várias versões em uma única máquina. Dessa forma, ele permite que o sistema seja comprometido mesmo após instalar as atualizações.

Mas a proposta de Kandek tem precedentes. A Apple, por exemplo, se encarrega de distribuir as atualizações do Java para o Mac OS X usando sua plataforma de atualizações própria. O porém dessa política é que essa distribuição costuma acontecer meses após as correções serem publicadas pela Sun (Oracle).

A saída, por enquanto
Permanece a sugestão de usar os softwares para verificação do estado de pacotes e de plugins em browsers eventualmente vulneráveis. Java, Flash, QuickTime e o Reader podem, dessa forma ser mantidos atualizados. Os programas em questão são o BrowserCheck e o Personal Software Inspector. O primeiro se limita aos programas mencionados, ao passo que o segundo verifica as condições gerais de uma vasta gama de aplicativos, máquinas virtuais e plugins.

Site: IDG Now!
Data: 21/10/2010
Hora: 16h
Seção: Segurança
Autor: Greg Keiser
Link: http://idgnow.uol.com.br/seguranca/2010/10/21/atualizacao-do-java-deveria-ser-mais-simples-diz-expert/