Atualização deixa Java mais seguro, mas ainda é melhor desativar

Atualização deixa Java mais seguro, mas ainda é melhor desativar

Configuração do Java é insegura e erro pode impedir gravação de mudanças. (Foto: Reprodução)

Já recomendamos desativar o Java no navegador web principal e manter um segundo navegador com Java habilitado para visitar com ele somente os sites que necessitam de Java. O que motivou essa recomendação – que é incomum para a coluna – foi os diversos problemas de segurança e de projeto do Java. Felizmente, a Oracle, que desenvolve o software, resolveu alguns problemas, mas ainda seguem outros. Vamos ver hoje o que mudou.
Java é uma linguagem de programação e também o nome popular de um software necessário para usar os programas feitos em Java (a própria Oracle, por exemplo, usa expressões como “faça o download do Java”). Esse software é o Java Runtime Environment (JRE). O JRE, além de viabilizar a execução de programas em Java no PC, que incluem aplicativos como Minecraft, JDownloader e Vuze, também possui um componente extra para executar aplicativos em Java diretamente a partir do navegador.
É esse componente que faz parte do navegador web que viabiliza ataques, pois uma página maliciosa é capaz de explorar problemas no Java ou a falta de atenção do internauta para instalar vírus no sistema. Para piorar, o pesquisador de segurança Adam Gowdiak afirmou que já encontrou duas novas vulnerabilidades no Java e comunicou a Oracle, que agora deverá produzir mais uma atualização. (Veja aqui o relato de Gowdiak, em inglês.)
Para saber como desativar o Java, veja o final da coluna. Mas, primeiro, vamos analisar alguns aspectos do Java para saber quais são os problemas do JRE e como usá-lo com mais segurança.
Escapando do isolamento
Java é capaz de realizar modificações no sistema operacional e interagir com dados armazenados no PC. Isso não pode ser dito, por exemplo, do Flash, outro plug-in comum em navegadores. Esse comportamento do Java é indesejado e, por esse motivo, o Java usa um recurso chamado “sandbox” para isolar os aplicativos em Java executados no navegador (chamados de applets).
No entanto, applets podem “escapar” do sandbox usando falhas de segurança ou obtendo permissão do internauta.
Autorizando um applet
Para autorizar um applet, o Java costumava exibir a seguinte janela:

Antigo aviso de execução de applets. (Foto: Reprodução)

Agora, o Java está exibindo uma janela diferente, que requer pelo menos dois cliques para executar um aplicativo. O Java também não exibe mais o nome do “Editor” do software quando o applet não estiver com uma assinatura digital válida – chamados de applets “autoassinados”. Em um applet autoassinado, o “editor” do software pode ser falsificado. É normal encontrar applets criados por hackers em que o editor era “Microsoft” ou outro nome semelhante para que o internauta autorizasse. Agora, o editor aparece como “desconhecido” – uma melhora importante.

Aviso para execução de applet novo. (Foto: Reprodução)

O ideal seria que applets sem assinatura digital válida não fossem executados no navegador. Uma tecnologia concorrente do Java, o ActiveX, da Microsoft, é um exemplo: se um componente não tem assinatura digital válida, o internauta não recebe qualquer aviso. Ele é automaticamente rejeitado.
O problema ao permitir applets sem assinatura válida é que mesmo applets legítimos e seguros – como é o caso deste da foto, pertencente ao jogo Minecraft -, não usam assinatura digital. Assim, o usuário é obrigado a aceitar algo de um “editor desconhecido”, o que normalmente não é uma boa ideia.
É importante deixar claro que, fora alguns casos raros, pouquíssimos sites dependem do plug-in do Java que gera esses alertas das imagens. O usuário está muito mais sujeito a visitar sem querer sites maliciosos que usam o plug-in do Java do que sites legítimos.
Falhas de segurança

Janela de aviso do Controle de Contas de Usuário do Jucheck. (Foto: Reprodução)

Um applet pode utilizar uma falha de segurança e escapar do isolamento do Java sem que o internauta possa negar ou autorizar qualquer ação. Brechas existem em qualquer software e os desenvolvedores precisam corrigir as falhas. Embora as falhas do Java não sejam poucas, a Oracle, que é responsável, corrige todas elas. O problema, nesse caso, é aplicar a atualização que corrige a falha.
Enquanto alguns mecanismos de atualização funcionam de forma 100% automática (caso do Windows, do Google Chrome, do Firefox e do Adobe Flash e do Adobe Reader), o Java não é tão conveniente.
Primeiro, é preciso aceitar um aviso do “Controle de Contas do Usuário”, que aparece “do nada” durante o uso do computador.
Depois, é preciso clicar no ícone do Java, que fica na barra de tarefas. Nesse momento aparece uma janela informando que existe uma nova versão do Java. Na janela, é preciso clicar em “Instalar”. Em seguida, “Instalar” novamente.

Atualização do Java requer vários cliques e pode até solicitar instalação de software desnecessário. (Foto: Reprodução)

Depois, o Java pode oferecer a instalação de uma barra de ferramentas para o navegador de internet, que também modifica o provedor de pesquisa para a Ask.com. Esse software não faz parte do Java e provavelmente você não quer que ele seja instalado.
Depois de mais alguns passos, finalmente o Java será atualizado. Esses passos terão de ser repetidos a cada nova atualização.
Múltiplas versões
Alguns softwares programados em Java não funcionam bem nas versões mais novas do Java, o que requer a instalação de uma versão antiga. Por isso, costumava ser o caso que o Java deixava todas as versões anteriores instaladas no computador, e ficava a cargo do site definir em qual versão ele desejava que um applet fosse executado. Os criminosos utilizavam esse recurso para sempre executar o applet com uma versão vulnerável do Java, conseguindo, com isso, explorar uma brecha mesmo no caso de o usuário já ter instalado uma versão atualizada e livre da vulnerabilidade.
Agora, ainda pode acontecer de versões anteriores do Java ficarem no sistema, e ainda é possível que um site tente usar essas versões antigas. Nesse caso, porém, o Java ainda pede uma confirmação adicional antes de executar um applet.
No entanto, o atualizador do Java nem sempre consegue detectar todas as atualizações. Por exemplo, em um sistema onde está instalando o Java 7, o atualizador do Java pode não conseguir instalar atualizações de segurança do Java 6, deixando essa instalação sempre vulnerável. Em um teste da coluna Segurança Digital, este sistema, da foto abaixo, que está com o Java 6 Atualização 37 (1.6.0_37) não conseguiu detectar a atualização existente para o Java 6 Atualização 38.

Sem saber, você pode acabar com diferentes versões do Java instaladas. (Foto: Reprodução)

Recomendações
Os problemas de segurança do plug-in do Java, somados aos poucos sites que fazem uso da tecnologia dele, levam às seguintes recomendações:

• Desative o Java em seu navegador web principal. Deixe-o ativado em um navegador secundário. Por exemplo, se você usa principalmente o Chrome, deixe o Java desativado no Chrome, mas deixe-o ativado no Internet Explorer no caso de ele ser necessário.
• Mantenha o Java atualizado modificando a configuração padrão de atualização de mensalmente para diariamente. Depois de uma atualização, revise as configurações do navegador. O Java pode ter sido reativado.
• Caso queira manter o Java ativado, use a segurança no nível “muito alta” e só autorize applets que realmente confia.

Configurando o Java
No Painel de Controle do Windows existe uma opção do Java. Acesse-a.
Aba Atualizar: Clique em Avançado. Selecione “Diariamente”. Clique em OK.
Aba Segurança: Deixe o nível de segurança em “Muito Alta”. Para desativar o Java em todos os navegadores definitivamente, desmarque a caixa “Ativar conteúdo Java no browser”. Esta opção não é recomendada a não ser que você realmente nunca utilize Java no navegador, pois é preciso reiniciar o navegador para ativar e desativar a opção.
ERROS DO JAVA: Pode acontecer de o ícone do Java não aparecer no Painel de Controle. Além disso, pode acontecer de a frequência de atualização configurada não ser salva. Isso se deve a erros no Java. Para resolver isso, vá até a pasta “C:\Arquivos de Programas (x86)\Java\jre7\bin” ou “C:\Arquivos de Programas\Java\jre7\bin” e execute o programa “javacpl”. Nos Windows Vista/7 ou em um Windows XP com conta limitada, clique com o botão direito no programa e selecione “Executar como administrador” (Windows 7) ou “Executar como” e insira a senha de administrador (Windows XP).
Desativando o Java em navegadores específicos

Janela de complementos no Internet Explorer. (Foto: Reprodução)

Internet Explorer: (aperte a tecla ALT para ver o menu, se necessário) Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Selecione todas as opções do Java (usando SHIFT e CTRL, ou então uma de cada vez) e acione o botão Desabilitar. Reinicie o navegador. Se o Java não estiver sendo exibido, verifique se a opção “Todos os complementos” está selecionada no menu rotulado “Mostrar” na parte esquerda da tela. (A opção “Desativar scripts de miniaplicativos Java”, nas zonas de segurança, também não funciona, apesar do nome).

Configuração dos complementos no Firefox. (Foto: Reprodução)

Firefox: Acesse o menu “Firefox” e então “Complementos”. Clique em “Desativar” em todas as opções relacionadas ao Java nos plugins.
Chrome: É preciso acessar o endereço chrome://plugins. O Java estará na lista. Basta desativar.