Em 2012, as vulnerabilidades do Java permitiram ataques diversos ao OS X, ao Windows e ao Linux. E parece que o cenário não mudará para 2013.
De acordo com várias empresas de pesquisa especializada em segurança, a atualização 10 do Java 7 (a última disponibilizada pela Oracle) contém buracos que podem ser explorados por crackers. Um pesquisador identificado como @kafeine
disse que um grande número de sites, por causa da brecha, permitem que arquivos sejam baixados e executados na máquina do usuários, incluindo malwares. Diversas ferramentas exploit já estão se aproveitando da brecha, como Cool EK, Nuclear Pack, Redkit, Blackhole e Sakura.
O pesquisador notificou o laboratório AlienVault, o qual analisou o problema e constatou que o exploit muito provavelmente está ignorando algumas verificações de segurança, enganando as permissões de certas classes Java. Por enquanto, a única forma de nos protegermos é desabilitando o plugin.
Kurt Baumgartner, analista do Kaspersky Lab, também disse que o exploit já se espalhou: “Temos visto anúncios de sites legítimos, especialmente no Reino Unido, no Brasil e na Rússia, redirecionando para domínios que hospedam a implementação Blackhole atual que entrega o Java 0day [brecha]. Esses locais incluem sites de meteorologia, sites de notícias e, é claro, sites adultos.”
Até mesmo o Departamento de Segurança Interna dos EUA (U.S. Department of Homeland Security) alertou usuários para que a desativação — ou até mesmo a desinstalação — do software Java seja feita.
Todavia, parece que a Apple já tomou providências. A empresa atualizou a lista negra que armazena no XProtect.plist
(ferramenta de proteção nativa do sistema operacional), exigindo minimamente a versão 1.7.0_10-b19 do Java 7, que ainda não existe.
Mesmo assim, acho válido desabilitar o plugin, pelo menos até uma nova atualização chegar. Para fazer isso, basta ir em Preferências do Sistema » Java » Segurança e desabilitar o plugin. Você também pode desativar o plugin pelo navegador (Safari, Chrome, Firefox, etc.), contudo, é mais seguro fazer da forma recomendada por nós, pois assim você “corta o mau pela raiz” e impossibilita a utilização do plugin em todos os browsers de uma vez só.
O seguro morreu de velho…
[via ZDNet: 1, 2; Ars Technica, MacRumors]