Proponha uma correção, faça uma sugestão
Como nos podemos proteger do mais recente exploit do JAVA?
A segurança das nossas máquinas é algo que devemos ter presente. Colocamos em causa os nossos dados e podemos torná-las parte de redes de bots que executam tarefas destrutivas em larga escala.
Ontem foi apresentada mais uma vulnerabilidade do Java que não se espera tenha solução num futuro próximo. É algo que deve preocupar todos os que usam computadores pois representa uma forma simples de perdermos o controlo sobre as nossas máquinas.
Existem várias formas de contornar este problema, mas a mais simples é mesmo desabilitar o Java até que surja a solução definitiva.
Apesar de existirem já um patch, disponibilizado pelo site DeepEndResearch, mas este não é oficial. Se o pretenderem aplicar podem descarregá-lo neste link e instalá-lo.
O falha de segurança detectada pela FireEye, afecta a versão do Java Runtime Environment (JRE) 1.7 e seguintes. Todas as versões inferiores, como a 1.6 e seguintes decrescentes não apresentam qualquer risco, até ao momento.
A descrição desta falha é muito simples. Ao ficarmos expostos através do JAVA damos aos atacantes a possibilidade de utilizar uma página web «manipulada» e assim forçar o nosso sistema a descarregar e executar um código aleatório, como pode ser o caso de um um keylogger ou algum outro tipo de malware que terceiros assim pretendam. O curioso é que o código que descarregamos sem o nosso conhecimento não é necessariamente uma aplicação JAVA, sendo neste momento um executável compatível com Windows. Ao tratar-se de um executável conclui-se temporariamente que o exploit apenas pode ser utilizado através de sistemas operativos Windows, contudo existe a forte possibilidade de se poder alastrar futuramente aos restantes sistemas operativos como o Linux ou Mac.
Por isso, a medida mais simples de ser aplicada, e antes de termos problemas de segurança é desabilitarmos nos nossos browsers o acesso ao Java, estando assim protegidos até que a Oracle lance uma solução para este problema.
Eis então como o fazer nos principais browsers usados actualmente.
Chrome
A forma de desabilitar o Java no Chrome é extremamente simples. Basta que coloquem na Omnibar o endereço about:plugins e que lhe acedam. Aí devem procurar a entrada referente ao Java e desabilitem-na.
É este apenas o único passo que devem tomar para tonar este browser imune ao problema do Java descoberto.
Firefox
Existem duas formas de desabilitar o Java no Firefox. A que apresentamos é a mais abrangente e que pode ser usada em qualquer sistema operativo.
Comecem por aceder às Preferências e uma vez aí dentro escolham o separador Geral. Devem encontrar a opção Gerir Add-ons. Da lista de Add-ons que forem apresentadas escolham o Java (ou Java Applet)e desabilitem-no.
Internet Explorer
Desabilitar o Java no Internet Explorer pode não ser das tarefas mais simples. No entanto existe um truque, que até reside fora do browser, que pode resolver este problema.
Na verdade esta solução não desabilita apenas o Java no Internet Explorer, mas também o faz no Firefox. Claro está que apenas pode ser usada no Windows.
Comecem então por aceder ao Painel de Controlo do Windows e aí escolham a opção Java Applet.
Na janela que for aberta devem escolher o separador Advanced e depois expandir a referente Default Java for browsers.
Retirem as selecções que estão em Microsoft Internet Explorer e em Mozilla family. No primeiro caso podem ter de usar a barra de espaço para remover a selecção.
Opera
A forma de desabilitar o Java no Opera é em tudo semelhante ao Chrome. Comecem por colocar na barra de endereço about:plugins e depois procurem pela entrada referente ao Java. Expandam-na e depois desabilitem a única opção que aí vão encontrar.
Tal como no Chrome apenas necessitam de executar um passo para estarem um pouco mais seguros e imunes a este problema.
Safari
No Safari, apesar de ser agora exclusivo para Mac OS, a formula é idêntica para todos os SO's. Comecem por aceder às Preferências e depois escolham o separador Segurança.
Na zona referente ao Conteúdo Web devem retirar a seleccção que está na opção Activar Java.
Depois de procederem a estas alterações, e se quiserem testar que realmente o Java está desabilitado podem aceder a este link de teste do Java e ver o resultado.
Caso necessitem de usar o Java durante as vossas navegações na Internet lembrem-se que apenas devem dar acesso temporário a este. Provavelmente nem vão dar pela sua falta, mas fica a indicação.
Assim que for disponibilizada uma actualização de segurança para o Java, o que deve acontecer em 16 de Outubro, devem aplicá-la de imediato e reactivar o Java nos vossos browsers. Os passos a serem seguidos são os mesmos hoje apresentados.
Este artigo tem mais de um ano
Loading ...
Bom dia ,
No caso do Java não proprietário em Linux o plugin tem o nome de ”ICEDTEA-WEB PLUGIN” , embora o risco deste plugin ser afectado ser muito pequena , quem não quiser arriscar é seguir os passos descritos no artigo e desactivar o Plugin em questão .
Aceitem os meus sinceros cumprimentos
Serva
Boas, Serva!
O Iced Tea teve hoje mesmo, coincidência ou não (e eu não acredito muito em coincidências nestas coisas) uma actualização.
De resto é como já alguém por aqui falou. Antes das medidas drásticas vamos lá às mais sensatas. Embora Javascript não seja Java, muito do conteúdo Java, Flash e outro, para entrar precisa que o browser possa importar as frames que em muitos casos são geridas por Javascript, logo, se usarem um bom bloqueador dessas frames tipo NoScript, em princípio não deverão ter problemas, pois o browser ão vai apanhar o conteúdo contaminado, isto para além de se protegerem de outras m… que andam por aí!…
Entretanto e off-topic, cá ando com as minhas experiências com o belo Mint 13 KDE… Tenho 2 problemas… Com os erros que cometi numa primeira instalação, acabei por pensar em apagá-la, mas nem percebi muito bem, devo ter metido os pés pelas mãos e acabei por instalar um seguindo Mint 13 KDE (do qual estou a escrever) lado a lado com o 1º e o Windows. Felizmente tudo parece funcionar lindamente o que se calhar é uma sorte, mas como poderei corrigir isto e ficar só com Windows e 1 único linux?
O outro problema, bem deve ter a ver com um bug, ou então é uma funcionalidade que para mim parece um bug, dado relacionar-se com a minha actividade Web favorita, e para a qual não encontro por aí nenhum tutorial a explicar como se “resolve”. É assim: Quando estamos no Youtube ou noutro site qualquer de vídeos ou a ver Web TV o Power Management reduz para metade a luminosidade do monitor do portátil ao fim de uns 5 minutos. Haverá forma de fazer com que ele não o faça, pelo menos quando em full screen?
Boa noite!…
Parabéns pela noticia!
Extremamente útil e não podia estar mais bem feita!
“Existem várias formas de contornar este problema, mas a mais simples é mesmo desabilitar o Java”
a mim parece-me instalar a ultima 1.6 que tem tido evoluções e esperar que 1.7 fique mais estavel…
A 1.6 não tem este problema, mas tem outros…
Não sei se será a melhor opção.
Concordo com o João.
Claro que teríamos de avaliar os riscos de instalar a versão 1.6 mas aparentmente esta nova vulnerabilidade expoe muito mais um computador do que qualquer outra na versão 1.6
Ontem precisamente em casa estava com este problema do Enchent text.
Não consigo desabilitar o Java. No separador Advanced / Default Java for Browsers, o visto para o Microsoft Internet Explorer, está em cor cinzenta e não deixa desabilitar. Soluções?.
“No primeiro caso podem ter de usar a barra de espaço para remover a selecção.”
Selecciona a opção e usa a barra de espaço para retirares a selecção.
Boas, só uma questão antes de entrar-mos em pânico quanto ao exploit, sendo que é uma applet normal, ele não tem que pedir autorização ao utilizador para correr, na configuração default do java?
“existe a forte possibilidade de se poder alastrar futuramente aos restantes sistemas operativos como o Linux ou Mac”
Como “futuramente”?
O kit Metasploit já foi testado em:
Mozilla Firefox on Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome on Windows XP
Internet Explorer / Mozilla Firefox on Windows Vista
Internet Explorer / Mozilla Firefox on Windows 7
Safari on OS X 10.7.4
Aliás, quem duvida que a falha pode ser aproveitada no Linux e no OS X *hoje*, só tem de ir aqui:
http://www.isjavaexploitable.com/
como dizia um prof que tive: para n ter cancro no braço, corta-se o braço. grande solução essa…
Parece que o Java vai passar a ser como o Flash e o Acrobat Reader, sempre com falhas de segurança (PSI personal – secunia.com). Muito suspeito …
Penso que esta não é a opção ideal, pois desactivar por completo o java deixa a navegação praticamente impossível, a começar pela página inicial do Sapo, que necessita de javascript para que se possa alternar entre secções de notícias…
O ideal seria aproveitar esta oportunidade para ensinar às pessoas o bom hábito de usar o NoScript. Depois de algum trabalho a fazer uma configuração inicial, é uma ferramenta que dá uma segurança tremenda à navegação.
Tudo o que é preciso é ir adicionando os sites de confiança (Outlook, Google, Sapo, Facebook, etc.) à lista de sites permitidos, para que nesses, todos os scripts sejam carregados sem constrangimentos. Depois disso, o NoScript simplesmente bloqueia todos os scripts de páginas não presentes na lista de sites permitidos, evitando que os ataques por via dos scripts sejam consumados. Isto é muito seguro, por exemplo, na eventualidade de se ser redireccionado para uma página perigosa sem o nosso consentimento.
Há quem lhe chame o preservativo do Firefox e com toda a razão.
Java não é JavaScript
Como se faz para ter aqueles 3 pontinhos? Vermelho amarelo e verde? e para que serve?
Para nada, basicamente.
Aquilo é o aspecto das janelas do sistema operativo dos computadores da Apple.
Não será mais prático e seguro “mandar a criatura dar uma volta”? isto e: desinstalá-lo?
Se o instalaste é porque a determinada altura já precisaste dele. Aliás, muitas aplicações e sites web precisam do Java. Não me parece que essa seja uma opção válida…
Muitas aplicações e sites, quais?
o Site das Finanças por exemplo
Agora assim de repente, a aplicação JDownloader e vários blogues com widgets e outras funcionalidades.
Já para não falar de quem desenvolve apps em Java!
A falha é aparecer o “ENCHAT TEST” ?
Os antivírus (pelo menos os melhores) detectam e impedem o uso do executável, correcto?
Estranho ainda ninguém ter referido uma solução simples e relativamente segura.
No meu caso só uso o Firefox com o add-on “NoScript” (http://noscript.net/). Sou eu que escolho em que sites activo ou não o javascript. Simples desde que só se permita executar o javascript nos sites de ABSOLUTA confiança.
Desde que há cerca de 2 anos passei a usar este add-on, e desinstalei o flash (azar para as empresas que não fizeram ainda upgrade para HTML5) e instalei o add-on WOT (http://www.mywot.com/), deixei de ter problemas com spyware (pontualmente; com virus já não tenho problemas há muitos mais anos).
Afinal o Filipe Bastos já falou mais acima do “NoScript”. As mais sinceras desculpas.
Alguém sabe se existe um add-on como o “NoScript” mas para chrome??
Java não é JavaScript
Desactiva o plugin que é o mais seguro
As instruções para o Opera não são correctas. Para desactivar o Java, é ir a opera:plugins e desactivar todos os plugins relacionados com o Java (e relembro que o Java não é a mesma coisa que JavaScript). E ainda há outras duas formas mas são mais longas:
— Botão Opera (canto superior esquerdo) > Página > Ferramentas de Desenvolvimento > Plug-Ins;
— com a barra de menus activa, menu Ver > Ferramentas de Desenvolvimento > Plug-Ins.
Pela GUI, é assim que se acede à página interna de gestão de plugins no Opera e é lá que devem ir para desactivar o Java no Opera. 😉
O que eu fiz foi desinstalar o 1.7 e voltar o 1.6, além de desabilitar no firefox.
Tenho alguns programas que necessitam do java, se não fosse isso, eu mandava embora.
Já estou sem paciência com o Java e o Flash, porcarias!
Este bug é o que dá o “enchent Text” correcto? Desactivei no dragoon comodo durante um bocado fez efeito mas agora zero. Engraçado é que na altura mudei do firefox para o comodo dragoon precisamente por causa deste problema.
Há pouco apareceu-me o popup para actualizar o Java para a versão 7 Update 7.
Fiz o update e activei os plugins nos 2 browsers que tenho instalados Internet Explorer e Firefox.
Ambos continuam a acusar a vulnerabilidade naquela página de teste: http://zulu.zscaler.com/research/java_version.html
Logo a seguir ao update parece que a brecha continua… ou o teste daquela pagina será meio paranóico?
PS:
Versão Java 1.7.0_07
Já instalei a última versão mas ao efectuar o teste diz que continuo vulnerável, voltei a desactivar…
Alguem pode responder a minha questão: A falha é aparecer o “ENCHAT TEST” ?