http://victorh2007.files.wordpress.com/2012/12/java_435.jpg?w=644
Usuários podem bloquear conteúdo em Java por completo ou impor restrições rígidas a eles; medida aumenta segurança
Uma recente atualização para o Java 7 permite aos usuários impedir que aplicativos Java sejam executados nos navegadores ou restringir como o conteúdo é tratado pelo cliente Java Runtime Environment (JRE). Esses recursos irão beneficiar os usuários preocupados com a segurança, mas as empresas ainda terão que encontrar métodos de isolamento de versões mais antigas do Java, disseram alguns especialistas em segurança.
O Java 7 Update 10 (7u10), lançado em 11 de dezembro, não contempla quaisquer vulnerabilidades, mas oferece várias melhorias de segurança.
De acordo com o comunicado do lançamento, a nova versão oferece aos usuários “a capacidade de desativar qualquer aplicativo Java executado no navegador.” Isto pode ser feito por meio da aba “segurança” no painel de controle Java, desativando a caixa “Ativar conteúdo em Java no navegador”.
Especialistas em segurança há tempos aconselham os usuários a remover o plug-in de seus navegadores, a fim de se protegerem dos ataques que, cada vez mais, exploram as vulnerabilidades do Java para infectar computadores com malware. No entanto, para seguir esses conselhos, os usuários tiveram que remover o Java de seus browsers – um por um – e eram obrigados a refazer o processo depois de instalar as atualizações da plataforma.
O Java 7u10 parece tornar as coisas mais fáceis, proporcionando aos usuários uma opção central para controlar conteúdo Java independente do número de navegadores que utilizam.
O novo recurso permite aos usuários definir os níveis de segurança dos conteúdos – de baixo para elevado – com a opção “médio” sendo padrão.
O nível de segurança médio permitirá que aplicativos em Java não assinados rodem normalmente, mas só se a versão do plug-in instalada for considerada segura. “Será solicitada autorização ao usuário, caso o app não assinado pedir para ser executado em uma versão antiga do Java”, disse a Oracle nas notas técnicas das opções de segurança do novo painel de controle.
Se definido o nível de segurança como “elevado” , será solicita a permissão do usuário toda vez que um aplicativo Java, assinado ou não, tentar rodar no navegador. Se a versão do Java for considerada insegura, os aplicativos não assinados não serão executados independente do que o usuário decidir. “As configurações de segurança afetam applets em Java não assinados, aplicações Java Web Start, aplicações JavaFX incorporadas e o acesso ao kit de ferramentas nativo de implantação de plug-ins”, disse a Oracle.
Além disso, o Java 7u10 introduz novos diálogos que avisam os usuários quando a versão do JRE instalada é insegura e precisa ser atualizada.
Essas mudanças não tornam o Java mais seguro em si, mas provavelmente facilitarão para os usuários tornar as máquinas mais seguras, porque permite que os usuários gerenciem algumas restrições, disse o diretor de segurança da empresa de pesquisa de gestão e vulnerabilidade Secunia, Thomas Kristensen, na terça-feira por e-mail.
No entanto, com o intuito de a maioria dos usuários ficarem protegidos, a Oracle precisa definir as novas opções por padrão, porque a maioria dos usuários não vai entender ou saber sobre as novas restrições, disse.