Por que o Java é menos um risco de segurança agora no Windows, Mac e Linux

A maioria das pessoas sabe que o Java é inseguro, mas ainda é o software mais perigoso? Ainda pode causar problemas no Windows, macOS e Linux? Vamos dar uma olhada e descobrir.

A maioria das pessoas sabe que o Java é inseguro, mas ainda é o software mais perigoso? Ainda pode causar problemas no Windows, macOS e Linux? Vamos dar uma olhada e descobrir.
Propaganda

O Java, que já foi um componente vital da Web, caiu em popularidade nos últimos anos. A maioria dos navegadores modernos bloqueia o Java por padrão, e a maioria dos usuários domésticos não precisa mais instalá-lo.

Há muito tempo ouvimos que o Java é o software mais inseguro para computadores desktop, especialmente o Windows. Mas isso ainda é verdade? Vamos cavar e descobrir.

Os problemas históricos com Java

A principal razão pela qual o Java se tornou um alvo tão popular para ataques é o quão difundido ele é. Como o Java foi projetado para compatibilidade máxima, ele é executado em vários dispositivos. Além dos computadores, o Java capacita os players de Blu-ray, impressoras, sistemas de pagamento de estacionamento, dispositivos de loteria e muito mais. É o oposto da segurança através da obscuridade: uma grande plataforma oferece o melhor retorno para um ataque.

Claro, estamos preocupados com o Java no desktop. E aí, a pior ofensa é que o Java não se atualiza automaticamente. Ao contrário da maioria dos outros programas modernos, o Java simplesmente pede ao usuário para instalar atualizações quando disponíveis. Ainda pior, por padrão, o Java só verifica atualizações uma vez por semana ou até uma vez por mês. Isso é perigoso para um aplicativo com tantas vulnerabilidades de segurança.

Muitas pessoas vêem o prompt de atualização e o ignoram, resultando na execução de uma versão desatualizada do Java. E com novas versões oferecidas regularmente, mesmo aqueles que instalam algumas atualizações podem ficar frustrados e ignorar outros. Em alguns casos, mesmo quando os usuários instalam uma nova versão, eles também deixam a cópia antiga do Java instalada. Isso aumenta sua vulnerabilidade para atacar.

Claro, não podemos esquecer a longa saga de Java de incluir a terrível Ask Toolbar. Toda vez que você instalou ou atualizou o Java, você tinha que lembrar de desmarcar uma caixa ou incluir esse pedaço de lixo. Embora não seja uma façanha, isso deixou um gosto ruim na boca dos usuários.

Java faz 22 anos hoje.

Devemos mandar ao Oracle um bolo com a barra de ferramentas Ask.

- Tim Barrett (@timbarrett) 24 de janeiro de 2018

Java moderno

Então, o que havia de errado com Java no passado, mas e recentemente?

Em outubro de 2017, a Veracode descobriu que 88% dos aplicativos Java contêm pelo menos um componente vulnerável. No início de 2016, a Oracle anunciou que até o instalador do Java estava vulnerável. Se um invasor colocasse um arquivo DLL com um nome específico na pasta Downloads, ele acionaria uma infecção quando você executasse o instalador do Java. E, em geral, devido à popularidade do Java, você só precisa visitar um site comprometido que aproveitou sua cópia desatualizada do Java para ser infectado.

Enquanto isso significa que o Java está longe de ser seguro, também há boas notícias. No início de 2016, a Oracle anunciou que planeja desaprovar o plugin do navegador Java (que é a fonte da maioria dos problemas) no JDK 9, que está disponível agora. Os navegadores modernos também deixaram o Java. O Chrome deixou de oferecer suporte para o Java no final de 2015 e o Firefox deixou de apoiá-lo no início de 2017. O navegador Edge da Microsoft, incluído no Windows 10, não oferece suporte a Java.

As Atualizações do Java no Windows 10 são tão hilárias agora porque o Chrome, o Firefox e o Edge não usam mais

- Rob, o cara da tecnologia (@TheTechGuyRob) 1º de fevereiro de 2018

Isso significa que, se você realmente precisa usar o Java em um navegador, você terá que ficar com o Internet Explorer.

As maiores vulnerabilidades

Desde que o Java está caindo em popularidade, o que tomou seu lugar como o software de desktop mais inseguro?

Os dados mais recentes da Flexera, do primeiro trimestre de 2017, revelam que 7, 8% dos programas no PC médio chegaram ao fim da sua vida. Ele classifica os 10 principais programas mais expostos, com base na participação de mercado multiplicada pela porcentagem de usuários que não receberam patches:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle para PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud para Windows 6.x

Esta lista pode surpreendê-lo. Embora o Java não seja o programa mais arriscado, ele ainda é o segundo. Outros programas que normalmente não associamos a riscos de segurança, como o VLC e o Malwarebytes, também são importantes. Isso ilustra a importância de manter todo o seu software atualizado. 4 Aplicativos do Windows para se manter atualizado em todos os momentos 4 Aplicativos do Windows para manter sempre atualizados Sempre Manter seu software atualizado é uma maneira de evitar problemas com hackers e malwares. . Mostramos a você como manter o Windows, navegadores, ferramentas antivírus e outros aplicativos atualizados. Leia mais, não apenas os mais populares.

Podemos ver mais examinando o relatório de segurança do Avast do terceiro trimestre de 2017. Ele lista os 10 programas mais desatualizados nos PCs de seus usuários:

  1. Java 6, 7 e 8
  2. Adobe Air
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Raposa de fogo
  7. 7-Zip
  8. WinRAR
  9. Tempo rápido
  10. Adobe Flash Player

segurança java - lista de programas desatualizados

Quando você inclui as versões mais antigas, parece que o Java ainda está no topo do software menos atualizado. Os plugins da Adobe também são grandes culpados, e vemos que o iTunes e o VLC também fizeram essa lista.

Por outro lado, de acordo com a TechRadar, o Chrome é o melhor para aplicativos atualizados. Quando pesquisados, 88% dos usuários que usam o Chrome tinham a versão mais recente instalada. Isso mostra como as atualizações automáticas silenciosas fazem uma grande diferença em comparação com os prompts de atualização irritantes usados ​​pelos tempos de execução do Java e do Adobe.

Não esqueça também as atualizações do sistema operacional

Outro componente vital da atualização para lembrar é atualizações do sistema operacional. Lembre-se de que os usuários que tinham atualizações automáticas instaladas foram poupados do terrível ataque de ransomware em meados de 2017 O ataque global do ransomware e como proteger seus dados O ataque global do ransomware e como proteger seus dados Um ataque cibernético massivo atingiu computadores em todo o mundo. Você foi afetado pelo ransomware auto-replicante altamente virulento? Se não, como você pode proteger seus dados sem pagar o resgate? Consulte Mais informação . Mesmo se você mantiver software como Java atualizado, seu computador ainda estará em risco se você não instalar as atualizações do Windows.

O Windows 10 facilita essas atualizações automáticas Prós e contras de atualizações forçadas no Windows 10 Prós e contras de atualizações forçadas no Windows 10 As atualizações serão alteradas no Windows 10. Agora você pode escolher e escolher. O Windows 10, no entanto, forçará atualizações em você. Tem vantagens, como segurança aprimorada, mas também pode dar errado. O que é mais ... Leia Mais, mas aqueles no Windows 7 podem tê-los desativado. E aqueles que ainda usam o Windows XP quase quatro anos após o fim de sua vida estão se arriscando 7 maneiras que o Windows 10 é mais seguro que o Windows XP 7 maneiras que o Windows 10 é mais seguro que o Windows XP Mesmo que você não goste do Windows 10 você realmente deveria ter migrado do Windows XP até agora. Mostramos a você como o sistema operacional de 13 anos agora está repleto de problemas de segurança. Consulte Mais informação .

Quão perigoso é Java, realmente?

Tomados todos juntos, ainda podemos dizer que o Java é o maior risco de segurança para desktops? Na verdade não. Do lado negativo, as pessoas ainda continuam a executar versões desatualizadas do Java, embora elas realmente não precisem dele. Isso os abre para vulnerabilidades de segurança. No entanto, como a maioria dos navegadores não suporta mais Java, eles não estão abertos para ataques como antes.

O elo fraco na segurança do seu computador vem do software mais popular que você não mantém atualizado . Se você tiver a versão mais recente do Java, mas ainda não tiver desinstalado o QuickTime para Windows sem suporte, isso é um grande risco. Ter uma versão desatualizada do Flash, do Adobe Reader ou do iTunes também pode te abrir para atacar.

humor atual: negar uma atualização de software por 18 meses e agora a ferramenta para baixar está desatualizada

- [graciosa] traça (@ archaevist) 12 de fevereiro de 2018

Podemos extrair dos dados acima que os programas sem atualizações automáticas são normalmente os menos seguros. Por exemplo, o iTunes constantemente pede aos usuários que atualizem, o que é chato. 7 Programadores de Coisas Estúpidas Fazem com que os usuários do Google Drive Loucos 7 Programadores de Coisas Estúpidas Executem os Usuários Loucos Os programadores loucos costumam tomar decisões estúpidas que levam a aborrecimentos para os usuários. Aqui estão algumas peculiaridades comuns de design que enlouquecem as pessoas. Consulte Mais informação . Isso leva as pessoas a ignorar as atualizações e deixar uma versão insegura instalada.

E sobre o Mac e o Linux?

Focamos no Java para Windows acima, mas vale a pena mencionar rapidamente como isso afeta os usuários de Mac e Linux também.

Surpreendentemente, enquanto a Apple não permite que os plugins sejam executados por padrão no Safari, o navegador ainda suporta os plugins antigos como o Java e o Silverlight. Embora você deva desinstalar o Java no seu Mac, a menos que seja necessário por um motivo específico, o Java não causou tantos problemas para usuários do Mac quanto no Windows. Ultimamente, a maioria dos buracos de segurança no macOS tem sido graças a descuidos da própria Apple.

Eu preciso instalar o NetBeans para alguma coisa. A versão para Mac é fornecida como um pacote de instalação (!), Que era uma bandeira vermelha. Mas então queria que eu instalasse o Java…

Não. Não, não. Nãooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- nulldragon (@_nulldragon) 8 de fevereiro de 2018

O Linux também não viu nenhuma vulnerabilidade Java exclusiva. Se você precisa de um navegador que suporte Java no Linux, você pode tentar a versão ESR (Extended Support Release) do Firefox. O Firefox fornece essa versão para ambientes de negócios; Ele fornece as atualizações de segurança mais recentes, mas aguarda mais tempo para implantar atualizações de recursos. A versão atual, 52, suporta Java e outros plugins legados estarão disponíveis até o segundo trimestre de 2018.

Um futuro livre de plugins

A boa notícia é que você não precisa da maioria desses plugins potencialmente perigosos e irritantes. O Flash é o único plug-in inseguro? Pense novamente que o Flash é o único plug-in inseguro? Pense novamente O Flash não é o único plug-in de navegador que apresenta um risco à sua privacidade e segurança on-line. Aqui estão mais três plugins que você provavelmente instalou em seu navegador, mas deve desinstalar hoje. Leia mais instalado mais. Pouquíssimos sites usam o Java, e o principal programa para o qual as pessoas mantiveram o Java instalado - o Minecraft - inclui uma versão integrada e segura do Java agora Como instalar a versão completa do Minecraft em um PC Linux Como instalar a versão completa do Minecraft em um Linux O PC Minecraft é um dos maiores jogos do mundo e funciona virtualmente em todas as plataformas. Quer colocá-lo em execução no seu computador com Linux? Nós vamos te mostrar como. Consulte Mais informação . Outros plugins também não são necessários. A Microsoft deprecou o Silverlight anos atrás, e seria difícil encontrar um site com conteúdo Shockwave.

O Flash é a única exceção Die Flash Die: A História Contínua das Empresas de Tecnologia Tentando Morrer Flash Die Flash: A História Contínua das Empresas de Tecnologia Tentando Matar Flash O Flash está em declínio há muito tempo, mas quando ele irá morrer? Consulte Mais informação . A maioria dos navegadores ainda a suporta devido à sua popularidade, mas a Adobe a eliminará em 2020. Até lá, tenha o cuidado de atualizar o Flash no seu PC. O Chrome faz isso automaticamente, então você pode nem ter mais instalado (o que é ótimo).

Resumindo: o Java ainda é inseguro, mas representa um risco menor, graças aos navegadores que o desabilitam. Você deve desinstalar os programas que não precisa (incluindo plug-ins antigos), manter o software em seu computador atualizado Como garantir que todos os seus programas permaneçam atualizados Como garantir que todos os seus programas estejam atualizados Mantenha o seu O software atualizado pode ser uma tarefa difícil, então por que não deixar o FileHippo encontrar atualizações para todos os seus programas desatualizados? Leia mais e aplique atualizações do sistema operacional. Se você fizer isso, você estará bem.

Você ainda tem Java e outros plugins legados instalados? Se sim, o que você precisa deles? Dê sua opinião sobre Java abaixo!

Crédito da imagem: avemario / Depositphotos

In this article