This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Apple e Mozilla - "Diga não ao Java '

Filed Under: Adobe, Apple Safari, Featured, Firefox, Java, Oracle, OS X, Podcast, Vulnerability

Não Java Como se o conselho de SophosLabs própria Fraser Howard e do Departamento dos EUA de Segurança Interna não são razão suficiente para abandonar Java, Apple e Mozilla têm ambos decidiram juntar-se à festa.

Esta tarde, sexta-feira 11 de janeiro aqui na costa oeste norte-americano, a Apple lançou uma lista de definição atualizada de malware para a sua proteção pseudo-antivírus XProtect no Mac OS X Snow Leopard e mais recentes.

Em vez de identificar um novo vírus, esta definição atualizada temporariamente desativado o Java Web Start browser plug-in que permite que aplicações Java para ser executado dentro do Safari / Firefox / Chrome.

XProtectJava500

Enquanto os relatórios foram indicando o problema é com o Java 7, há relatos de pesquisadores que as versões de Java 1.4 e superior são todas vulneráveis ​​a esta falha.

Parece que a Apple tenha aprendido uma lição importante deste período do ano passado. CVE-2012-0507 foi fixado pela Oracle em fevereiro, mas a Apple não fez o patch disponível até abril.

O resultado? Mais de 600 mil Macs estavam infectados com malware no ínterim.

Mozilla não é desleixo quando se trata de segurança e implementou um processo quase idêntico. Mozilla adicionou todas as versões atuais do Java para sua lista de bloqueio extra.

FFClickToPlay170 No Mozilla anúncio explicam que plugins em lista de bloqueio são forçados a utilização do Firefox clique para jogar funcionalidade.

Esta pode ser uma faca de dois gumes quando se trata de conhecidos plugins vulneráveis.

A vantagem dessa abordagem é que você será solicitado a cada vez que um site quer lançar um applet Java e você pode tomar uma decisão informada sobre se você realmente precisa que applet.

O problema é que você precisa ser informado e sabe o suficiente para escolher a opção certa. A maioria das pessoas são condicionadas a clicar através de mensagens de alerta e não pode obter o que eles precisam proteger contra ataques drive-by.

É bom ver que todos concordam sobre o risco de esta vulnerabilidade poses e tirar a palavra ou ativamente protegendo os usuários contra a ameaça.

Quer entender mais sobre Java? Por que o Java não é JavaScript? Ouça a esta Techknow onde Paul Ducklin e eu explico o que você precisa saber .

Ouça agora:

(31 de Agosto de 2012, duração de 16'19 ", 11MBytes tamanho)

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Chester Wisniewski is a Senior Security Advisor at Sophos Canada. He provides advice and insight into the latest threats for security and IT professionals with the goal of providing clear guidance on complex topics. You can follow Chester on Twitter as @chetwisniewski, on App.net as Chester, Chester Wisniewski on Google Plus or send him an email at chesterw@sophos.com.