O plug-In de Navegador Java Falha ao Verificar o Status de Certificados Digitais Roubados como Inseguros
Recentemente, Java tem sido o assunto da cidade quando se trata da plataforma ou software mais recente para receber uma onda de ataques de exploração devido a uma vulnerabilidade. Com uma vulnerabilidade surgem outras, assim como os pesquisadores descobriram uma fraqueza em uma proteção de segurança chave introduzida no plug-in do navegador para a estrutura do Java. Essa falha em particular é uma que facilita aos invasores colocarem malware em um computador afetado, enfatizando ainda mais como o Java não pode interromper os ataques não adulterados que encontrou apenas este ano.
É dito pelos pesquisadores e até pela Oracle, que os mentores da estrutura de software Java, que mais de 3 bilhões de computadores usam essa plataforma. Com uma abundância de sistemas usando Java, só faz sentido que os hackers tenham como alvo um alvo tão grande, que não podem errar. O amplamente utilizado plug-in Java, com suas muitas vulnerabilidades descobertas recentemente, foi confirmado pela Ars Technica para não verificar o status das certificações digitais usadas para assinar aplicativos Java hospedados em sites. Por esse motivo, o Java apresenta esses certificados como confiáveis, mesmo em situações em que eles podem ter sido relatados como roubados ou publicamente na lista negra de bancos de dados. Essa supervisão leva a sérias repercussões, pois a falha na verificação da revogação de certificado deixa um buraco na infraestrutura.
A verificação do status das certificações é necessária para evitar problemas de segurança. Além disso, essa supervisão anulará virtualmente as recentes proteções de segurança adicionadas da Oracle à estrutura Java. De certa forma, você pode pensar nisso como o que alguns chamam de "grande bobagem", permitindo que o Java trate os aplicativos assinados por um certificado comprometido como confiáveis. Nessa situação, os usuários nunca receberão a notificação pop-up alertando-os sobre um possível certificado não confiável acessado posteriormente, causando infiltração e segurança reduzida.
Não é de se admirar que o Java tenha sido o principal alvo de ataques recentes, seus certificados roubados são um gateway virtual para malware malicioso deslizar para um sistema afetado.
O diretor de inteligência de ameaças da Avast, Jindrich Kubec, disse que "Java acha que o certificado roubado usado é 100% válido e deve ser confiável", referindo-se à lista de revogação de certificados. Ao pensar em um método alternativo, ele acrescentou: "Com o CRL/OCSP, ele deixaria de ser confiável e provavelmente apresentaria diálogos completamente diferentes ou até mesmo não permitirá a execução do applet - infelizmente, a situação é um pouco complicada ao testar esse comportamento, por isso não sei ao certo qual das alternativas acima seria verdadeira".
Em apoio aos recentes movimentos da Oracle para melhorar seus problemas de Java, eles fizeram grandes progressos em janeiro, quando resolveram problemas para que os plug-ins de navegador avizassem os usuários antes de executar aplicativos Java. Obviamente, com qualquer fabricante de software, isso é visto como um remendo em vez de uma correção real, pois não facilita muito a experiência do usuário.
Às vezes, é uma troca de facilidade de uso e segurança. Hoje em dia, é muito raro comer e comer o seu bolo, principalmente quando você está lidando com algo tão volátil e amplamente usado quanto a infraestrutura Java. Considerando a forte presença de ataques baseados em Java recentemente, os usuários de computador são instruídos a pelo menos se instruir sobre as etapas que podem executar para "controlar" sua experiência em Java.
Figura 1. Janela de Configurações de Personalização do Painel de Controle do Java
O Java possui seu próprio conjunto de configurações acessíveis (Figura 1. acima), embora seja uma linguagem de programação de uso geral e uma infraestrutura de software que permita a execução de muitos aplicativos baseados na Web. Existem muitas ameaças do mundo real à espreita. Os aplicativos Java maliciosos estão sendo descobertos à esquerda e à direita, mas as ações provisórias tomadas não são suficientes para colocar essas vulnerabilidades em risco. Outro dia, um site legítimo de dicionário em alemão foi supostamente comprometido por quem inicialmente plantou o ataque por meio do Java. Talvez uma solução no momento seja desinstalar completamente o Java ou talvez utilizar um navegador independente para acessar um pequeno número de sites que requerem Java.