Home > Notícias

Segundo especialista, atualização do Java deveria ser mais simples

Na perspectiva de analista de segurança, uma opção seria o "casamento" entre a Microsoft e a distribuidora do Java, Oracle.

Computerworld/EUA

21/10/2010 às 12h18

Foto:

A atualização do Java deveria ser mais simples. Essa é a opinião do especialista em segurança Wolfgang Kandek, CTO da empresa Qualys. Para ele, a Oracle deveria
se associar aos serviços de atualização de softwares da Microsoft para acelerar a
distribuição de versões do Java mais robustas.

“A solução seria ideal para se livrarem de vários
aplicativos de atualização diferentes que existem por aí e colaborar com a MS
para acoplar as atualizações do Java ao Windows Update ou ao Windows Server
Update Service (WSUS), usado por várias empresas para manter a saúde dos
servidores sempre a frente de eventuais ameaças”, opina .

De acordo com informações obtidas junto ao serviço de verificação de browsers da Qualys, oito em cada dez PCs munidos do sistema
operacional Windows executam uma ou várias versões distintas da máquina Java. Com
isso, o software da Oracle chega a se equivaler em popularidade ao Acrobat
Reader da Adobe, perdendo apenas para o Flash.

Versões ultrapassadas

Entre os sistemas verificados, 40% rodavam uma versão ultrapassada
do Java que continha pelo menos uma falha crítica. Com esse resultado, a
plataforma da Oracle encabeça a lista de softwares carentes de atualização. Até
os softwares recém-promovidos a vilões, Flash e Reader, ambos da Adobe, oferecem
opções de atualização mais simples e eficientes de correção.

“Quem distribui malwares, passa o dia à procura de novas
maneiras de seqüestrar o controle sobre os sistemas alheios”, adverte Kandek. “Acontece
que os sistemas operacionais se tornaram extremamente robustos, restando aos
programadores mal intencionados a opção de explorar falhas de máquinas
executadas dentro do ambiente de SOs”.

Dois anos depois, 3,5 milhões de ataques

Não é por acaso que Kandek menciona as vulnerabilidades do
Java. No início dessa semana a equipe da Microsoft de combate a malwares
declarou que uma onda de ataques sem precedentes estava explorando uma falha
antiga do Java. O alerta da Microsoft dá conta de 3,5 milhões de ataques com
vistas a se aproveitar da brecha no Java. A real dimensão dessa onda fica
evidente se verificarmos que houve 6 milhões de ataques registrados no total e
que o bug em questão já havia sido objeto de correção por parte da Oracle há
dois anos.

“Se, na primeira fase, os ataques visavam as suítes do MS
Office, a segunda leva de tentativas tinha na mira os aplicativos mencionados
anteriormente da Adobe. Como resultado, as atenções ao Java crescem
sensivelmente”, dia Kandek. As condições oferecidas pelo Java fazem dele o
candidato ideal para ataques por parte de hackers: ele roda em um altíssimo
número de computadores, contém inúmeras falhas conhecidas e é, assim por dizer,
o patinho feio dos departamentos de TI, mais preocupados em dar conta de outras
questões nas empresas, do que atualizar o Java máquina por máquina.

O desafio

Kandek reconhece que a adesão da Microsoft à distribuição
dos pacotes Java atualizados é uma operação que demanda planejamento e execução
impecáveis. Mas o CTO admite que “se puderem cooperar, o resultado serão
clientes Windows mais robustos”.

O Java mantém um serviço de atualização próprio, mas ele tem
sido alvo de críticas por funcionar mal e por demorar na notificação de
usuários. Além disso, ele permite a execução de várias versões em uma única
máquina. Dessa forma, ele permite que o sistema seja comprometido mesmo após
instalar as atualizações.

Mas a proposta de Kandek tem precedentes. A Apple, por
exemplo, se encarrega de distribuir as atualizações do Java para o Mac OS X
usando sua plataforma de atualizações própria. O porém dessa política é que
essa distribuição costuma acontecer meses após as correções serem publicadas
pela Sun (Oracle).

A saída, por enquanto

Permanece a sugestão de usar os softwares para verificação
do estado de pacotes e de plugins em browsers eventualmente vulneráveis. Java,
Flash, QuickTime e o Reader podem, dessa forma ser mantidos atualizados. Os programas
em questão são o BrowserCheck e
o Personal
Software Inspector
. O primeiro se limita aos programas mencionados, ao
passo que o segundo verifica as condições gerais de uma vasta gama de
aplicativos, máquinas virtuais e plugins.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail