Propaganda
O Java, que já foi um componente vital da web, caiu em popularidade nos últimos anos. A maioria dos navegadores modernos bloqueia o Java por padrão, e a maioria dos usuários domésticos não precisa mais instalá-lo.
Há muito tempo ouvimos dizer que Java é o software mais inseguro para computadores de mesa, especialmente Windows. Mas isso ainda é verdade? Vamos nos aprofundar e descobrir.
Os problemas históricos com Java
A principal razão pela qual o Java se tornou um alvo tão popular de ataque é a sua disseminação. Como o Java foi projetado para máxima compatibilidade, ele roda em um host de dispositivos. Além dos computadores, o Java capacita players Blu-ray, impressoras, sistemas de pagamento de estacionamento, dispositivos de loteria e muito mais. É o oposto de segurança através da obscuridade: uma plataforma principal oferece a melhor recompensa para um ataque.
Obviamente, estamos preocupados com o Java na área de trabalho. E aí, a pior ofensa é que o Java não se atualiza automaticamente. Diferentemente da maioria dos outros programas modernos, o Java simplesmente pede ao usuário para instalar atualizações quando disponíveis. Pior ainda, por padrão, o Java verifica apenas atualizações uma vez por semana ou até uma vez por mês. Isso é perigoso para um aplicativo com tantas vulnerabilidades de segurança.
Muitas pessoas veem o prompt de atualização e o ignoram, resultando em uma versão desatualizada do Java. E com as novas versões oferecidas regularmente, mesmo aqueles que instalam algumas atualizações podem ficar frustrados e ignorar outras. Em alguns casos, mesmo quando os usuários instalam uma nova versão, eles também deixam a cópia antiga do Java. Isso aumenta sua vulnerabilidade ao ataque.
Claro, não podemos esquecer a longa saga de Java de incluir a terrível Ask Toolbar. Toda vez que você instalava ou atualizava o Java, lembre-se de desmarcar uma caixa ou ela incluiria esse lixo. Embora não seja uma exploração, isso deixou um gosto ruim na boca dos usuários.
Java faz 22 anos hoje.
Devemos enviar um bolo para o Oracle com a barra de ferramentas Ask.
- Tim Barrett (@timbarrett) 24 de janeiro de 2018
Java moderno
Então é isso que havia de errado com Java no passado, mas e recentemente?
Em outubro de 2017, a Veracode descobriu [não mais disponível] que 88% dos aplicativos Java contêm pelo menos um componente vulnerável. No início de 2016, a Oracle anunciou que até o instalador Java estava vulnerável. Se um invasor colocasse um arquivo DLL com um nome específico na pasta Downloads, ele causaria uma infecção quando você executasse o instalador do Java. E, em geral, devido à popularidade do Java, você precisaria apenas visite um site comprometido que aproveitou sua cópia desatualizada do Java para ser infectado.
Embora isso signifique que o Java está longe de ser seguro, também há boas notícias. No início de 2016, Oracle anunciado que planeja descontinuar o plug-in do navegador Java (que é a fonte da maioria dos problemas) no JDK 9, que está disponível agora. Navegadores modernos também deixaram o Java para trás. Chrome abandonou o suporte para Java no final de 2015, e O Firefox parou de apoiá-lo no início de 2017. O navegador Edge da Microsoft, incluído no Windows 10, não suporta Java.
Isso significa que, se você realmente precisar usar Java em um navegador, precisará seguir o Internet Explorer.
As maiores vulnerabilidades
Como o Java está caindo em popularidade, o que substituiu o software de desktop mais inseguro?
Dados mais recentes do Flexera, a partir do primeiro trimestre de 2017, revela que 7,8% dos programas no PC médio atingiram o fim de sua vida útil. Ele classifica os 10 principais programas mais expostos, com base na participação de mercado multiplicada pela porcentagem de usuários que não estão corrigidos:
- iTunes 12.x
- Java 8.x
- VLC Media Player 2.x
- Adobe Reader XI 11.x
- Adobe Shockwave Player 12.x
- Malwarebytes Anti-Malware 2.x
- Kindle para PC 1.x
- Adobe Acrobat Reader DC 15.x
- uTorrent 3.x
- iCloud para Windows 6.x
Esta lista pode surpreendê-lo. Embora o Java não seja o programa mais arriscado, ainda é o segundo. Outros programas que normalmente não associamos a riscos de segurança, como o VLC e o Malwarebytes, também são importantes. Isso ilustra a importância de manter todo o seu software atualizado, não apenas os populares.
Podemos ver mais examinando Relatório de segurança do terceiro trimestre de 2017 da Avast. Ele lista os 10 principais programas mais desatualizados nos computadores de seus usuários:
- Java 6, 7 e 8
- Adobe Air
- Adobe Shockwave
- VLC Media Player
- iTunes
- Raposa de fogo
- 7-Zip
- WinRAR
- Tempo rápido
- Adobe Flash Player
Quando você inclui as versões mais antigas, parece que o Java ainda supera o software menos atualizado. Os plug-ins da Adobe também são grandes culpados, e também vemos o iTunes e o VLC nessa lista.
Inversamente, de acordo com o TechRadar, O Chrome sai por cima para aplicativos atualizados. Quando pesquisados, 88% dos usuários que executam o Chrome tinham a versão mais recente instalada. Isso mostra como as atualizações automáticas silenciosas fazem uma enorme diferença, em comparação com as solicitações de atualização persistentes usadas pelos tempos de execução do Java e da Adobe.
Não esqueça também as atualizações do sistema operacional
Outro componente vital da atualização a ser lembrado são as atualizações do sistema operacional. Lembre-se de que os usuários com atualizações automáticas instaladas foram poupados o terrível ataque de ransomware em meados de 2017 O ataque global ao ransomware e como proteger seus dadosUm ataque cibernético maciço atingiu computadores em todo o mundo. Você foi afetado pelo ransomware auto-replicante e altamente virulento? Caso contrário, como você pode proteger seus dados sem pagar o resgate? consulte Mais informação . Mesmo se você mantiver um software como o Java atualizado, seu computador ainda estará em risco se você não instalar as atualizações do Windows.
O Windows 10 facilita essas atualizações automáticas Prós e contras de atualizações forçadas no Windows 10As atualizações serão alteradas no Windows 10. Agora você pode escolher. O Windows 10, no entanto, forçará atualizações para você. Tem vantagens, como segurança aprimorada, mas também pode dar errado. O que mais... consulte Mais informação , mas aqueles no Windows 7 podem tê-los desativado. E aqueles que ainda usam o Windows XP quase quatro anos após o final de sua vida estão se colocando em maior risco.
Quão perigoso é o Java, realmente?
Tomados em conjunto, ainda podemos dizer que Java é o maior risco de segurança para desktops? Na verdade não. Do lado negativo, as pessoas ainda continuam executando versões desatualizadas do Java, mesmo que realmente não precisem. Isso os abre para vulnerabilidades de segurança. No entanto, como a maioria dos navegadores não suporta mais o Java, eles não estão abertos a ataques como antes.
O elo fraco da segurança do seu computador vem do software mais popular que você não mantém atualizado. Se você possui a versão mais recente do Java, mas ainda não possui desinstalou o QuickTime para Windows não suportado, isso é um grande risco. Ter uma versão desatualizada do Flash, Adobe Reader ou iTunes também pode abrir você para atacar.
humor atual: negar uma atualização de software por 18 meses e agora a ferramenta para baixar está desatualizada
- mariposas (@ 13_moths) 12 de fevereiro de 2018
Podemos compreender a partir dos dados acima que programas sem atualizações automáticas são normalmente os menos seguros. Por exemplo, o iTunes pede constantemente que os usuários atualizem, o que é irritante. Isso leva as pessoas a ignorar as atualizações e deixar uma versão insegura instalada.
E o Mac e Linux?
Focamos o Java para Windows acima, mas vale a pena mencionar rapidamente como isso afeta os usuários de Mac e Linux também.
Surpreendentemente, embora a Apple não permita que plug-ins sejam executados por padrão no Safari, o navegador ainda suporta plug-ins antigos, como Java e Silverlight. Embora você deva desinstalar o Java no seu Mac, a menos que seja necessário por um motivo específico, o Java não causou tantos problemas aos usuários de Mac quanto no Windows. Ultimamente, a maioria das falhas de segurança no macOS tem sido graças à supervisão da própria Apple.
Preciso instalar o NetBeans para alguma coisa. A versão para Mac é fornecida como um pacote de instalação (!), Que era uma bandeira vermelha. Mas então ele queria que eu instalasse o Java…
Não. Nope Nope Nope. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.
- Cyberpunk 2077 Sucks (@_nulldragon) 8 de fevereiro de 2018
O Linux também não viu nenhuma vulnerabilidade Java exclusiva. Se você precisar de um navegador que suporte Java no Linux, poderá tentar o Versão ESR (Extended Support Release) do Firefox. O Firefox fornece esta versão para ambientes de negócios; Ele fornece as atualizações de segurança mais recentes, mas aguarda mais para lançar as atualizações de recursos. A versão atual, 52, suporta Java e outros plugins herdados estarão disponíveis até o segundo trimestre de 2018.
Um futuro sem plug-ins
A boa notícia é que você não precisa da maioria delas plugins potencialmente perigosos e irritantes Pense que o Flash é o único plug-in inseguro? Pense de novoO Flash não é o único plug-in de navegador que apresenta um risco à sua privacidade e segurança online. Aqui estão mais três plugins que você provavelmente instalou no seu navegador, mas que deve desinstalar hoje. consulte Mais informação instalado mais. Muito poucos sites usam Java, e o principal programa para o qual as pessoas mantinham o Java instalado - Minecraft -agora inclui uma versão empacotada segura do Java Como instalar a versão completa do Minecraft em um PC LinuxO Minecraft é um dos maiores jogos do mundo e roda em praticamente todas as plataformas. Deseja executá-lo no seu computador Linux? Vamos mostrar-lhe como. consulte Mais informação . Outros plugins também não são necessários. A Microsoft descontinuou o Silverlight anos atrás e você não se preocupa em encontrar um site com conteúdo Shockwave.
Flash é a única exceção Die Flash Die: A história contínua das empresas de tecnologia que tentam matar o FlashO Flash está em declínio há muito tempo, mas quando ele vai morrer? consulte Mais informação . A maioria dos navegadores ainda o suporta devido à sua popularidade, mas Adobe vai acabar com isso em 2020. Até lá, lembre-se de atualizar o Flash no seu PC. O Chrome faz isso automaticamente, para que você não precise mais instalá-lo (o que é ótimo).
Em resumo: o Java ainda é inseguro, mas apresenta menos riscos, graças aos navegadores que o desativam. Você deve desinstalar os programas que não precisa (incluindo plug-ins antigos), manter o software no seu computador atualizado e aplicar atualizações do sistema operacional. Se você fizer isso, estará bem.
Crédito de imagem: avemario /Depositphotos
Ben é editor adjunto e gerente de postagem patrocinada da MakeUseOf. Ele é bacharel em direito. em Computer Information Systems pela Grove City College, onde se formou Cum Laude e com honras em seu curso. Ele gosta de ajudar os outros e é apaixonado por videogames como um meio.