This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Java 7 atualização 10 introduz importantes novos controles de segurança

Filed Under: Featured, Java, Oracle, Security threats

Oracle só corrige vulnerabilidades de segurança Java para três (?) Vezes por ano, mas isso não quer dizer que não libera correção de bugs e outras liberações de recursos do ambiente de tempo de execução quase onipresente.

Na semana passada, a Oracle enviado Java 7 atualização 10 (Java 7u10), o mais recente na série 7 Java, que inclui novos controles de segurança , além de uma correção de bug e dados de fuso horário atualizados.

Quais são esses novos controles?

Java painel de controle O primeiro, o meu favorito, permite que você desabilite o plugin web Java, desmarcando um único carrapato-box. Depois de instalar o Java 7u10 você pode abrir o painel de controle Java e desmarque a opção "Ativar conteúdo em Java no navegador".

Para os usuários que têm aplicações baseadas em Java (como eu!) Incapacitantes o plugin web elimina a maior parte do risco associado a ter o Java instalado.

Java também vai agora verificar para ver se ele é o mais tardar segurança "linha de base". O que significa isso? Bem, isso significa que a última versão do Java que foi lançada com correções para vulnerabilidades conhecidas, que a partir desta postagem é Java 7u9.

A Oracle afirma:

Se o JRE é considerado expirado ou inseguro, avisos de segurança adicionais são exibidos. Na maioria desses diálogos, o usuário tem a opção de bloquear a execução do aplicativo, para continuar executando o aplicativo, ou para ir para java.com para baixar a última versão.

Na minha opinião, que é um pouco de uma falha de segurança. Não permitir que os usuários escolham opções que conscientemente colocá-los em perigo. Como profissionais de segurança que temos que parar de esperar que os usuários tomem decisões importantes de segurança ( navegador certificado advertências alguém?).

Java 7u10 também introduz o conceito de níveis de segurança. O nível padrão é meio que permite que aplicativos não confiáveis ​​para executar se o Java estiver atualizado, mas só irá permitir que aplicativos assinados para correr se você está fora de data.

Este é um padrão terrível. Na minha opinião você nunca deve executar aplicativos Java sem notificação e, certamente, não deve executar aplicativos não assinados.

Até mesmo aplicativos assinados pode não ser seguro se o seu Java é vulnerável. Felizmente, existe uma opção personalizada que lhe permite afinar esse comportamento.

Java control panel customize settings Você pode controlar se executar sem usuário, prompt Prompt ou Não corra para três situações diferentes.

Eu prefiro desabilitar o Java em seu navegador inteiramente, mas se você não pode, então eu recomendo Não corra para aplicações não confiáveis ​​se o Java está atualizado ou não.

Para applets locais a configuração do usuário prompt de alerta para o fato de que algo que usa Java está tentando executar e proporcionar uma oportunidade para bloqueá-lo se você não está intencionalmente a execução de código Java.

Eu acho que é ótimo que a Oracle está fazendo Java mais configurável e talvez eles vão fortalecer ainda mais as configurações padrão em uma versão futura. Eu recomendo a todos atualizar e escolher as configurações mais adequadas ao meio ambiente.

Os administradores de sistema deve prestar especial atenção às notas de lançamento da Oracle, pois há opções de linha de comando para implantações do Windows para controlar essas novas configurações. Caberia a você para bloqueá-los tão firmemente como você ousa.

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.