quarta-feira, 19 de dezembro de 2012

Java 7 atualização 10 introduz importantes novos controles de segurança


Oracle só corrige vulnerabilidades de segurança Java três vezes por ano, mas isso não quer dizer que não libera correção de bugs e outras liberações de recursos do ambiente de tempo de execução quase onipresente.

Na semana passada, a Oracle lançou a atualização 10 do Java 7  (Java 7u10), o mais recente na série 7 do Java, que inclui novos controles de segurança, além de uma correção de bug e dados de fuso horário atualizados.

Quais são esses novos controles?


O primeiro, o meu favorito, permite que você desabilite o plugin web Java, desmarcando um único checkbox. Depois de instalar o Java 7u10 você pode abrir o painel de controle Java e desmarque a opção "Ativar conteúdo em Java no navegador".

Para os usuários que têm aplicações baseadas em Java (como eu!) desabilitar o plugin web, elimina a maior parte do risco associado a ter o Java instalado.

Com esta nova atualização o Java vai agora verificar para ver se está isntalado o mais patch de atualização com a "linha de base". O que significa isso? Bem, isso significa que a última versão do Java que foi lançada com correções para vulnerabilidades conhecidas será avisada ao usuário e remata ao site para o usuário poder baixar para evitar o mesmo correr risco de segurança, que inicia a partir desta postagem que é o Java 7u9.


A Oracle afirma:

"Se o JRE é considerado expirado ou inseguro, avisos de segurança adicionais são exibidos. Na maioria desses diálogos, o usuário tem a opção de bloquear a execução do aplicativo, para continuar executando o aplicativo, ou para ir para java.com para baixar a última versão."


Java 7u10 também introduz o conceito de níveis de segurança. O nível padrão é meio que permite que aplicativos não confiáveis ​​para executar se o Java estiver atualizado, mas só irá permitir que aplicativos assinados para correr se você está fora de data.

Este é um padrão terrível. Na minha opinião você nunca deve executar aplicativos Java sem notificação e, certamente, não deve executar aplicativos não assinados.

Até mesmo aplicativos assinados pode não ser seguro se o seu Java é vulnerável. Felizmente, existe uma opção personalizada que lhe permite afinar esse comportamento.


Os administradores de sistema deve prestar especial atenção às notas de lançamento da Oracle, pois há opções de linha de comando para implantações do Windows para controlar essas novas configurações. Caberia a você para bloqueá-los tão firmemente.

Fonte: Sophos
Texto escrito por Chester Wisniewski
Tradução e Modificação: ALJUG


Nenhum comentário:

Postar um comentário