Java ainda é vulnerável a 0-day, apesar de sua atualização.

Esta semana falou-se muito sobre Java. Falou-se no início da atualização 7 da versão 10. Que era muito vulnerável. Era tão vulnerável e crítico que muitos recomendaram a desinstalação completa do Java em seus computadores.

0-dia Un ataque de dia zero (em inglês zero-day attack ou 0-day attack) é um ataque contra uma aplicação ou sistema que visa executar código malicioso graças ao conhecimento de vulnerabilidades que, em geral, são desconhecidas das pessoas e do fabricante do produto. Isso pressupõe que eles ainda não foram corrigidos. Esse tipo de explorar geralmente circula entre as fileiras de invasores em potencial até ser finalmente postado em fóruns públicos. Um ataque de dia zero é considerado um dos instrumentos mais perigosos de um guerra de computador1

A vulnerabilidade era bastante séria, pois permitia a execução e instalação de Software no sistema sem que o usuário soubesse, isso permitia que informações fossem roubadas e praticamente qualquer coisa.

Nos últimos dias o "gênio" da Oracle lançou sua nova versão com um suposto patch para o dia 0 chamado Java 7 update 11.

Mas muitos afirmam que a vulnerabilidade ainda persiste. Ou melhor, não foi totalmente corrigido. De acordo com especialistas, eles dizem que a Oracle pode levar até 2 anos para corrigir totalmente essa vulnerabilidade.

Da Oracle, eles nos oferecem ir ao painel de controle Java e ajustar o nível de segurança e transformá-lo de médio para alto e isso tornará mais difícil a execução de código malicioso sem nosso consentimento. Mas tome cuidado "Isso tornará tudo mais difícil" Não vai parar.

Eu pessoalmente digo que o tempo do Java acabou. Desde que leio blogs, o Java sempre se mostrou muito vulnerável e a verdade é que nunca descubro se tenho o Java instalado ou não. Quer dizer, não percebo a diferença. Eu pessoalmente desinstalei há muito tempo e minha vida continua a mesma. Mais seguro, é claro 😀

Eu recomendaria isso se vocês forem usuários de desktop. Comum e selvagem, não instale o Java. Temos o suficiente com Flash.


31 comentários, deixe o seu

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Blaire pascal dito

    Não sei por que recebo um pequeno sorriso quando leio isso. Talvez seja eu; D

    1.    KZKG ^ Gaara dito

      Já somos dois rsrs

  2.   diazepam dito

    Nem mesmo openjdk?

  3.   msx dito

    Se você faz homebanking ou usa sites complexos, é muito provável que precise ter o Java instalado para usá-los - Java RTE, não OpenJDK, onde a maioria desses sites não funciona.

  4.   Radiante dito

    Se msx estiver certo, também no meu caso por exemplo é necessário entrar no sistema de notas e cadastro de cursos da minha universidade. A propósito, não interprete mal, mas você poderia colocar as fontes que afirmam que a vulnerabilidade ainda persiste após a atualização? Estou interessado em aprender mais já que o uso de java é um mal necessário.

  5.   nano dito

    Sempre fui o maior detrator do Java por aqui. A verdade é que esses tipos de vulnerabilidades críticas sempre aparecem neste idioma e esse é um dos muitos motivos pelos quais recuso o uso de um produto de qualidade tão ruim.

    Vamos lá, não demora muito para responder que Java é isso, que Android é o outro ... cagar Java.

    1.    msx dito

      Uma pequena correção: o que é inseguro não é a linguagem (que com suas classes e caso de camelo é horrível, sim) mas a máquina virtual onde o Java é compilado em tempo real.

      1.    nano dito

        Obviamente meu erro por não especificá-lo, às vezes eu tendo a generalizar muito.

        Mas não gosto de tudo o que tem a ver com Java.

        1.    Ivan Barra dito

          Incluindo o motor dalvik horrível, lento, arcaico e doloroso que o Android usa.

          1.    m dito

            Ugh, é bom encontrar pessoas com opinião e sem medo de dizer as coisas como são.

            Felizmente, o futuro é promissor com o grande número de alternativas que estão em seu estágio final de maturação: D: D

  6.   moela dito

    É hora de substituir todo o Java pelo Python ... eu acho. Como disse o autor, o tempo do Java acabou.

    1.    VariadoPesado dito

      Totalmente de acordo.

    2.    Merlin, o debianita dito

      Nisso se eu concordar que o python nem precisa ser compilado, mas como faço o download sem jdownloader?, Tucan não funciona para mim e ratfat pior, quem recomenda um programa de download multi-protocolo onde os links depositfile funcionam?

      1.    msx dito

        arado

  7.   Ricardo dito

    Espero que meu patrão não leia isso .. se eu não vou me dedicar a vender artesanato na praça ... hehehe

  8.   Charlie Brown dito

    Tudo bem com as notícias; enfim, nos sites onde li sobre essa vulnerabilidade do Java, eles apenas alertam os usuários do Windows e OS X, não vi nenhuma menção ao GNU / Linux, em qualquer caso, como com todas as coisas, o grau O perigo que representa dependerá de nossos hábitos de navegação e segurança. Por outro lado, não estou muito claro sobre como desabilitar e / ou desinstalar completamente o Java, uma vez que ele não é usado apenas por navegadores; Se você olhar de perto, as suítes LibreOffice e OpenOffice instalam e usam por padrão, então não estou muito claro o quão eficaz a "desinstalação" será, se alguém tiver uma ideia mais precisa do assunto, eu gostaria de explicar em detalhe.

    1.    Mario dito

      Linux é vulnerável:

      http://erratasec.blogspot.mx/2012/08/new-java-0day.html
      http://www.securityowned.com/noticias-seguridad/exploit-0-day-java-7-10/

      E embora você reduza o risco por não visitar páginas de segurança duvidosa, a infecção pode ser causada pelo simples fato de visitar uma página comprometida (o site da sua escola, uma loja comercial, etc.).

      Embora o Linux seja mais seguro, não alimente o mito de que ele é intocável.

      1.    msx dito

        Não é assim.

        GNU / Linux é seguro, o inseguro é Java.
        O Windows não é seguro com ou sem Java.

        Se você deixar um servidor SSH aberto na porta 22 com acesso root e sem senha, eles entrarão logicamente como Pancho em casa.

        Não há feed FUD.

        1.    msx dito

          E acrescento: o problema com o Java são os requisitos de baixo nível da máquina virtual, sob esse novo prisma é evidente que:

          A máquina virtual precisa de acesso de baixo nível ao sistema para funcionar, o que em si é um erro de design e um vetor de ataque, uma vez que o sistema (GNU / Linux neste caso) não tem como agir ou se defender, uma vez que literalmente entrega o chaves para Java.

          Logicamente, se a máquina virtual solicitar acesso irrestrito ao sistema para funcionar, este será o ponto mais fraco do próprio sistema e a segurança geral do sistema será marcada pela segurança dos aplicativos que precisam ser executados no espaço do kernel ou espaço do usuário privilegiado.

          Documente-se, leia, compreenda e - por favor - não divulgue FUD.

          1.    nano dito

            Pelo que me lembro ou entendo, não há como qualquer aplicativo acessar um nível de ação tão baixo no Kernel.

            Já li, mas agora não me lembro onde e a verdade é que também não sei o suficiente para discutir sobre isso ... Não sou tão irresponsável, mas queria comentar mesmo assim.

    2.    Jlbaena dito

      Tenho o libreoffice e não instalei o java.

    3.    Juan Carlos dito

      No caso do Windows, afeta XP e 7. Windows 8 e Explorer 10 sem problemas. No PC Linux eu já desativei nos navegadores, só por precaução.

      1.    @Jlcmux dito

        Bem, se você usa Sun Java no Linux, a atualização demora um pouco. Especialmente se você usa Distros como o Debian. Então, normalmente, o manual .deb é compilado ou instalado. Portanto, eles não se atualizam.

      2.    asd dito

        apenas desative os plug-ins, não há necessidade de desinstalar

        1.    @Jlcmux dito

          Qual é o ponto de ter um plugin instalado e desativá-lo?

          1.    Juan Carlos dito

            Que quando o problema for corrigido você habilitar, imagino que será atualizado com o patch.

          2.    asd dito

            que quando eles resolvem o problema e lançam uma nova versão você os habilita novamente, é o mesmo que Juan Carlos diz exceto para os patches, já que não importa o quanto eles os removem parece que o problema persiste

  9.   Alf dito

    @ Charlie Brown
    O Libreoffice instala o openjdk, ele não instala o java, desse lado não tem problema, agora como o msx diz, sim

    1.    Blaire pascal dito

      Yupiiii, temos certeza.

  10.   rainbow_fly dito

    Que tal abrir jdk?

    Eu sou um minecrafter .. Não estou disposto a desistir tão facilmente 😛

  11.   Aleexfrost dito

    Veja esclarecer uma coisa para mim, esse erro afeta o openjdk? porque pelo que sei a maior parte do linux usa openjdk, porque pelo que li é um bug ou erro do oracle java