Vídeo: O que é Patch ? E pra que ele serve? (Outubro 2024)
Em junho, falamos sobre como a Oracle prometeu fazer melhor com Java e atualizar a plataforma com mais frequência. Essa foi a pedra angular de uma série de episódios embaraçosos em que o Java era usado repetidamente para atacar os usuários. Nesta semana, a Oracle lançou a primeira de uma nova série de atualizações para Java, que eles esperam tornar os três bilhões de dispositivos que executam seu produto mais seguro. Isso pode ser verdade, mas a atualização é assustadoramente grande, com implicações igualmente assustadoras.
Correção mais rápida
Anteriormente, o Java era atualizado três vezes por ano, mas a partir desta semana, ele será atualizado trimestralmente, juntamente com o restante dos produtos da Oracle, como parte da Critical Patch Update, ou CPU (entendo o que você fez lá, Oracle).
Tomada como um todo, a atualização inclui 127 correções de segurança. Destes, 51 são para Java e - eis a parte assustadora - 50 dessas vulnerabilidades podem, nas palavras da Oracle, "ser exploradas remotamente sem autenticação".
Mas oh, fica melhor. No blog da Qualys, o CTO Wolfgang Kandek escreve "12 vulnerabilidades com a pontuação CVSSv2 mais alta de 10, indicando que essas vulnerabilidades podem ser usadas para assumir o controle total da máquina atacada pela rede sem exigir autenticação". Ele continua apontando que a maioria das atualizações afeta usuários de laptop e desktop (por exemplo, você, lendo isso agora), mas existem duas atualizações altamente críticas relacionadas às instalações do servidor.
Hora de atualizar!
A maioria dos usuários provavelmente receberá atualizações automaticamente, mas, apenas para ter certeza, a Oracle forneceu uma página útil para testar qual versão você está executando. Se ele detectar uma instalação desatualizada, solicitará que você baixe e instale a atualização. Observe que a versão mais recente desta semana é a atualização 45 do Java 7.
Levarei um segundo rápido para lembrar os usuários de serem muito cuidadosos ao atualizar o Java manualmente, porque ele tentará convencê-lo a instalar a barra de ferramentas Ask.com e alterar o mecanismo de pesquisa padrão para Ask.
Tão pequeno?
Embora seja bom ver a Oracle intensificando seu jogo de segurança, nem todo mundo elogiou a decisão da Oracle. Chester Wisniewski, consultor sênior de segurança da Sophos, escreveu no blog de sua empresa que isso parece tarde demais. "Se sua reputação é tão ruim e você expõe mais de um bilhão de usuários a suas falhas, precisa responder mais rapidamente".
Wisniewski continuou insinuando que as prioridades da Oracle estavam desalinhadas e teve a audácia de atacar o barco da marca Oracle de Larry Ellison, que ganhou recentemente a America's Cup. "Coloque o prêmio na prateleira no seu saguão, venda o barco de dez milhões de dólares e contrate os engenheiros necessários para atualizar o ciclo de correções do Java mensalmente com o dinheiro de reposição", escreveu Wisniewski. "Mais de 3 bilhões de dispositivos agradecerão."
A atualização da instalação do Java é a melhor maneira de manter-se protegido contra ataques baseados em Java, que são incorporados a muitos kits de exploração e frequentemente usados por atacantes. Claro que você sempre pode desconectar e desativar completamente o Java.
