Atualização deixa Java mais seguro, mas ainda é melhor desativar
Se você tem alguma dúvida sobre segurança da informação (antivírus,
invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e
utilize a seção de comentários. A coluna responde perguntas deixadas
por leitores todas as quartas-feiras.
A coluna Segurança Digital já recomendou desativar o
Java no navegador web principal e manter um segundo navegador com Java
habilitado para visitar com ele somente os sites que necessitam de Java.
O que motivou essa recomendação – que é incomum para a coluna – foi os
diversos problemas de segurança e de projeto do Java. Felizmente, a
Oracle, que desenvolve o software, resolveu alguns problemas, mas ainda
seguem outros. Vamos ver hoje o que mudou.
Java é uma linguagem de programação e também o nome popular de um
software necessário para usar os programas feitos em Java (a própria
Oracle, por exemplo, usa expressões como “faça o download do Java”).
Esse software é o Java Runtime Environment (JRE). O JRE, além de
viabilizar a execução de programas em Java no PC, que incluem
aplicativos como Minecraft, JDownloader e Vuze, também possui um
componente extra para executar aplicativos em Java diretamente a partir
do navegador.
é esse componente que faz parte do navegador web que viabiliza
ataques, pois uma página maliciosa é capaz de explorar problemas no Java
ou a falta de atenção do internauta para instalar vírus no sistema.
Para piorar, o pesquisador de segurança Adam Gowdiak afirmou que já
encontrou duas novas vulnerabilidades no Java e comunicou a Oracle, que
agora deverá produzir mais uma atualização. (Veja aqui o relato de Gowdiak, em inglês.)
Para saber como desativar o Java, veja o final da coluna. Mas,
primeiro, vamos analisar alguns aspectos do Java para saber quais são os
problemas do JRE e como usá-lo com mais segurança.
Escapando do isolamento
Java é capaz de realizar modificações no sistema operacional e
interagir com dados armazenados no PC. Isso não pode ser dito, por
exemplo, do Flash, outro plug-in comum em navegadores. Esse
comportamento do Java é indesejado e, por esse motivo, o Java usa um
recurso chamado “sandbox” para isolar os aplicativos em Java executados
no navegador (chamados de applets).
No entanto, applets podem “escapar” do sandbox usando falhas de segurança ou obtendo permissão do internauta.
Autorizando um applet
Para autorizar um applet, o Java costumava exibir a seguinte janela:
Antigo aviso de execução de applets. (Foto: Reprodução)
Agora, o Java está exibindo uma janela diferente, que requer pelo
menos dois cliques para executar um aplicativo. O Java também não exibe
mais o nome do “Editor” do software quando o applet não estiver com uma
assinatura digital válida – chamados de applets “autoassinados”. Em um
applet autoassinado, o “editor” do software pode ser falsificado. é
normal encontrar applets criados por hackers em que o editor era
“Microsoft” ou outro nome semelhante para que o internauta autorizasse.
Agora, o editor aparece como “desconhecido” – uma melhora importante.
Aviso para execução de applet novo. (Foto: Reprodução)
O ideal seria que applets sem assinatura digital válida não fossem
executados no navegador. Uma tecnologia concorrente do Java, o ActiveX,
da Microsoft, é um exemplo: se um componente não tem assinatura digital
válida, o internauta não recebe qualquer aviso. Ele é automaticamente
rejeitado.
O problema ao permitir applets sem assinatura válida é que mesmo
applets legítimos e seguros – como é o caso deste da foto, pertencente
ao jogo Minecraft -, não usam assinatura digital. Assim, o usuário é
obrigado a aceitar algo de um “editor desconhecido”, o que normalmente
não é uma boa ideia.
é importante deixar claro que, fora alguns casos raros, pouquíssimos
sites dependem do plug-in do Java que gera esses alertas das imagens. O
usuário está muito mais sujeito a visitar sem querer sites maliciosos
que usam o plug-in do Java do que sites legítimos.
Falhas de segurança
Janela de aviso do Controle de Contas de Usuário do Jucheck. (Foto: Reprodução)
Um applet pode utilizar uma falha de segurança e escapar do
isolamento do Java sem que o internauta possa negar ou autorizar
qualquer ação. Brechas existem em qualquer software e os desenvolvedores
precisam corrigir as falhas. Embora as falhas do Java não sejam poucas,
a Oracle, que é responsável, corrige todas elas. O problema, nesse
caso, é aplicar a atualização que corrige a falha.
Enquanto alguns mecanismos de atualização funcionam de forma 100%
automática (caso do Windows, do Google Chrome, do Firefox e do Adobe
Flash e do Adobe Reader), o Java não é tão conveniente.
Primeiro, é preciso aceitar um aviso do “Controle de Contas do Usuário”, que aparece “do nada” durante o uso do computador.
Depois, é preciso clicar no ícone do Java, que fica na barra de
tarefas. Nesse momento aparece uma janela informando que existe uma nova
versão do Java. Na janela, é preciso clicar em “Instalar”. Em seguida,
“Instalar” novamente.
Atualização do Java requer vários cliques e pode até solicitar instalação de software desnecessário. (Foto: Reprodução)
Depois, o Java pode oferecer a instalação de uma barra de ferramentas
para o navegador de internet, que também modifica o provedor de
pesquisa para a Ask.com. Esse software não faz parte do Java e
provavelmente você não quer que ele seja instalado.
Depois de mais alguns passos, finalmente o Java será atualizado. Esses passos terão de ser repetidos a cada nova atualização.
Múltiplas versões
Alguns softwares programados em Java não funcionam bem nas
versões mais novas do Java, o que requer a instalação de uma versão
antiga. Por isso, costumava ser o caso que o Java deixava todas as
versões anteriores instaladas no computador, e ficava a cargo do site
definir em qual versão ele desejava que um applet fosse executado. Os
criminosos utilizavam esse recurso para sempre executar o applet com uma
versão vulnerável do Java, conseguindo, com isso, explorar uma brecha
mesmo no caso de o usuário já ter instalado uma versão atualizada e
livre da vulnerabilidade.
Agora, ainda pode acontecer de versões anteriores do Java ficarem no
sistema, e ainda é possível que um site tente usar essas versões
antigas. Nesse caso, porém, o Java ainda pede uma confirmação adicional
antes de executar um applet.
No entanto, o atualizador do Java nem sempre consegue detectar todas
as atualizações. Por exemplo, em um sistema onde está instalando o Java
7, o atualizador do Java pode não conseguir instalar atualizações de
segurança do Java 6, deixando essa instalação sempre vulnerável. Em um
teste da coluna Segurança Digital, este sistema, da foto abaixo, que
está com o Java 6 Atualização 37 (1.6.0_37) não conseguiu detectar a
atualização existente para o Java 6 Atualização 38.
Sem saber, você pode acabar com diferentes versões do Java instaladas. (Foto: Reprodução)
Recomendações
Os problemas de segurança do plug-in do Java, somados aos
poucos sites que fazem uso da tecnologia dele, levam às seguintes
recomendações:
- Desative o Java em seu navegador web principal. Deixe-o ativado em
um navegador secundário. Por exemplo, se você usa principalmente o
Chrome, deixe o Java desativado no Chrome, mas deixe-o ativado no
Internet Explorer no caso de ele ser necessário. - Mantenha o Java atualizado modificando a configuração padrão de
atualização de mensalmente para diariamente. Depois de uma atualização,
revise as configurações do navegador. O Java pode ter sido reativado. - Caso queira manter o Java ativado, use a segurança no nível “muito alta” e só autorize applets que realmente confia.
Configurando o Java
No Painel de Controle do Windows existe uma opção do Java. Acesse-a.
Aba Atualizar: Clique em Avançado. Selecione “Diariamente”. Clique em OK.
Aba Segurança: Deixe o nível de segurança em “Muito
Alta”. Para desativar o Java em todos os navegadores definitivamente,
desmarque a caixa “Ativar conteúdo Java no browser”. Esta opção não é
recomendada a não ser que você realmente nunca utilize Java no
navegador, pois é preciso reiniciar o navegador para ativar e desativar a
opção.
ERROS DO JAVA: Pode acontecer de o ícone do Java não
aparecer no Painel de Controle. Além disso, pode acontecer de a
frequência de atualização configurada não ser salva. Isso se deve a
erros no Java. Para resolver isso, vá até a pasta “C:Arquivos de
Programas (x86)Javajre7bin” ou “C:Arquivos de
ProgramasJavajre7bin” e execute o programa “javacpl”. Nos Windows
Vista/7 ou em um Windows XP com conta limitada, clique com o botão
direito no programa e selecione “Executar como administrador” (Windows
7) ou “Executar como” e insira a senha de administrador (Windows XP).
Desativando o Java em navegadores específicos
Janela de complementos no Internet Explorer. (Foto: Reprodução)
Internet Explorer: (aperte a tecla ALT para ver o
menu, se necessário) Ferramentas, Opções da Internet. Na aba
“Programas”, clique no botão Gerenciar complementos. Na lista, procure o
Java. Selecione todas as opções do Java (usando SHIFT e CTRL, ou então
uma de cada vez) e acione o botão Desabilitar. Reinicie o navegador. Se o
Java não estiver sendo exibido, verifique se a opção “Todos os
complementos” está selecionada no menu rotulado “Mostrar” na parte
esquerda da tela. (A opção “Desativar scripts de miniaplicativos Java”,
nas zonas de segurança, também não funciona, apesar do nome).
Configuração dos complementos no Firefox. (Foto: Reprodução)
Firefox: Acesse o menu “Firefox” e então “Complementos”. Clique em “Desativar” em todas as opções relacionadas ao Java nos plugins.
Chrome: é preciso acessar o endereço chrome://plugins. O Java estará na lista. Basta desativa
