Vídeo: Java Connect to Oracle database Made Easy (Outubro 2024)
À luz das recentes vulnerabilidades encontradas em Java e das preocupações constantes com a segurança geral da tecnologia, a Oracle prometeu - novamente - que resolverá os problemas.
A Oracle já fez algumas alterações no Java e está trabalhando em novas iniciativas para melhorar a segurança, escreveu Nandini Ramani, chefe de desenvolvimento Java da Oracle, em um post na sexta-feira. Depois de uma série de ataques baseados na Web de alto perfil direcionados a funcionários de vários setores, a Orace se comprometeu a resolver os problemas subjacentes no ambiente de plataforma cruzada.
Duas das mudanças descritas na postagem de Ramani, incluindo atualizações no modelo de segurança do applet e no comportamento padrão do plug-in Java, já estão ativas. Outras mudanças, como a maneira como os aplicativos Java lidam com certificados revogados, implementando políticas de segurança local para criar regras personalizadas e restringindo as bibliotecas disponíveis para aplicativos do lado do servidor, estão atualmente em desenvolvimento. Ramani não indicou quando essas atualizações estariam disponíveis.
E a Sandbox?
"No seu conjunto, isso é bom para Java, mas essas mudanças não resolvem o problema subjacente à própria sandbox Java", disse HD Moore, diretor de pesquisa do Rapid7 e criador da estrutura de teste de penetração Metasploit, em um email para SecurityWatch.
A sandbox Java é uma área protegida onde os aplicativos são executados, separados do sistema subjacente. A sandbox deve capturar executáveis maliciosos antes que eles possam assumir o controle da máquina ou seqüestrar os processos em execução. No entanto, os invasores exploraram com êxito várias vulnerabilidades para ignorar a sandbox Java.
"Até que a Oracle implemente o sandboxing no nível do processo, como o usado pelo Adobe Reader e Google Chrome, um applet malicioso com uma assinatura válida ainda pode abusar das falhas de segurança do JRE para escapar do sandbox e comprometer o sistema", disse Moore.
As mudanças até agora
A Oracle atualizou o modelo de segurança recentemente para que os usuários possam executar applets assinados sem conceder privilégios adicionais e impedir a execução de applets não assinados. Isso significa que apenas assinar um applet não dá mais automaticamente ao programa a capacidade de sair da área restrita.
"Isso é bom para a segurança", disse Moore.
Outra coisa boa é o fato de que as configurações de segurança do plug-in padrão agora impedem a execução de applets não assinados ou autoassinados. A mudança agora possibilita a lista de permissões de sites específicos e o gerenciamento central de políticas de segurança Java na empresa, observou Moore.
E em breve...
Atualmente, Java suporta Listas de revogação de certificados (CRL) e OCSP (Online Certificate Status Protocol) para verificar se um certificado assinado ainda é válido. No entanto, como a verificação não é executada por padrão, mesmo que um certificado tenha sido revogado, os invasores poderão continuar usando essa má certificação. A Oracle está planejando uma atualização que permitiria a verificação por padrão.
A próxima Política de segurança local fornece aos administradores controle adicional sobre as configurações de política, como permitir que os administradores de sistema definam quais computadores executar os applets Java e quais não.
Embora todos os testes recentes de Java tenham afetado os applets em execução no navegador da Web, a Oracle também está explorando maneiras de garantir que os aplicativos do servidor permaneçam seguros, disse Ramani. Uma mudança seria remover determinadas bibliotecas que não são necessárias no lado do servidor para reduzir a superfície de ataque.
Nova programação de atualizações
A Oracle também atualizará o Java com mais frequência. No momento, o Java é atualizado três vezes por ano, seguindo um cronograma de atualização separado de todos os outros produtos Oracle. A atualização crítica trimestral de patches começará a incluir correções de Java em outubro, disse Ramani. A Oracle ainda lançará atualizações de emergência, "fora de banda", quando necessário.
Considerando que a CPU já é um esforço demorado para os administradores, adicionar Java à mistura apenas contribui para uma atualização ainda mais gigantesca. Por outro lado, significa que os administradores não precisam se lembrar da programação de atualização separada do Java.
