Total Security - infoguerra.com.br
Seis formas de se proteger contra a última vulnerabilidade do Java
Pesquisadores de segurança propuseram vários métodos para os usuários protegerem seus computadores de ataques contínuos explorando uma nova vulnerabilidade, ainda sem previsão de correção em todas as versões do Java Runtime Environment 7.
A maior parte das soluções propostas tem inconvenientes ou é aplicável apenas para certas configurações de sistema e ambientes. Contudo, a esperança é a de que na ausência de um patch oficial da Oracle, os usuários sejam capazes de utilizar um ou outra combinação delas a fim de reduzir os riscos de terem seus sistemas comprometidos.
A nova vulnerabilidade, considerada extremamente crítica, foi descoberta por pesquisadores da empresa de segurança FireEye, que anunciaram no último domingo (26/8) que ela pode ser explorada para executar código malicioso em um sistema por meio da simples visitação a uma página de internet com o plug-in Java habilitado.
A maior parte das soluções propostas tem inconvenientes ou é aplicável apenas para certas configurações de sistema e ambientes. Contudo, a esperança é a de que na ausência de um patch oficial da Oracle, os usuários sejam capazes de utilizar um ou outra combinação delas a fim de reduzir os riscos de terem seus sistemas comprometidos.
A nova vulnerabilidade, considerada extremamente crítica, foi descoberta por pesquisadores da empresa de segurança FireEye, que anunciaram no último domingo (26/8) que ela pode ser explorada para executar código malicioso em um sistema por meio da simples visitação a uma página de internet com o plug-in Java habilitado.
O método mais eficiente de mitigar os riscos associados com a nova vulnerabilidade do Java ou vulnerabilidades similares que possam vir a serem descobertas no futuro, segundo a maioria dos profissionais de segurança, é desinstalar o Java ou, pelo menos, desabilitar o plug-in Java Web de seus navegadores.
Contudo, ela tem a inconveniência de não ser prática em alguns ambientes, especialmente em empresas onde aplicativos web baseados em Java são necessários para a realização de operações importantes.
“A maioria dos clientes nunca precisa do Java, mas muitos usuários corporativos precisam dele para usar recursos de ferraments como o GoTo Meeting e WebEx”, disse Chester Wisniewski, conselheiro sênior de segurança da Sophos. “Em um ambiente corporativo você pode ser capaz de controlar o JavaW.exe e garantir que ele execute apenas alguns applets ou contate apenas intervalos de IP inofensivos para serviços que você utiliza e que necessitem do Java”.
Outra solução, proposta por Wolfgang Kandek, diretor chefe de tecnologia da Qualys, é utilizar um mecanismo de segurança baseado no Internet Explorer Zone para restringir as páginas que podem carregar applets Java.
Os usuários podem impedir o uso do Java no Internet Explorer Zone ao configurar a chave de registro do Windows 1C00 para 0 emHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3, permitindo que apenas o Java e as páginas inofensivas fiquem na Zona Confiável, disse Kandek.
Enquanto isso, os usuários do Google Chrome e do Mozilla Firefox podem obter resultados similares bloqueando o carregamento de conteúdo baseado em plug-ins e pedindo a confirmação do usuário.
Outra forma de reduzir o risco de encontrar applets java maliciosos e que é dependente do usuário é utilizar um navegador internet com o Java desabilitado para navegação geral e outro com o Java habilitado apenas para acessar aplicativos web confiáveis .Tal política pode ser difícil de aplicar em uma rede corporativa. Contudo, pode ser prático para usuários conscientes dos riscos de segurança e que precisem utilizar certos aplicativos Java baseados na web a partir de seus computadores pessoais.
Por último, existe um patch Java não oficial criado por Michael Schierl, um pesquisador de segurança que encontrou outras vulnerabilidades no Java, no passado, que está sendo distribuída pelos pesquisadores de segurança independentes Andre M. DiMino e Mila Parkour, da DeepEnd Research.
O patch aparentemente bloqueia a falha explorada nos ataques até o momento, mas seu criador não garante que ela irá bloquear todas as formas de exploração dessa vulnerabilidade, que podem ser utilizadas em futuras falhas.
O patch foi submetido a testes limitados e, como qualquer outro patch não oficial, não oferece nenhuma garantia de que evitará que programas legítimos funcionem corretamente, uma vez que ele seja utilizado. Por isso, DiMino e Parkour o estão fornecendo apenas a empresas que o solicitem por e-mail, explicando claramente as razões pelas quais precisam dele.
Se existe alguma conclusão a ser tirada desses métodos de mitigação propostos é a de que nenhuma dessas soluções será adequada para as necessidade de todos.
“A estratégia mais apropriada irá variar muito, dependendo da postura de segurança de sua organização como também a extensão de utilização do Java em aplicativos críticos de negócios”, disse Stephen Cobb, um evangelista da segurança da ESET.
Muitos especialistas em segurança, incluindo Wisniewski e Cobb, acreditam que a Oracle deveria quebrar seu ciclo regular de quatro meses para criação de patch e corrigir esta vulnerabilidade o mais cedo possível.
A próxima fornada de patches de segurança para os produtos Oracle está programada para ser lançada em outubro.
Contudo, ela tem a inconveniência de não ser prática em alguns ambientes, especialmente em empresas onde aplicativos web baseados em Java são necessários para a realização de operações importantes.
“A maioria dos clientes nunca precisa do Java, mas muitos usuários corporativos precisam dele para usar recursos de ferraments como o GoTo Meeting e WebEx”, disse Chester Wisniewski, conselheiro sênior de segurança da Sophos. “Em um ambiente corporativo você pode ser capaz de controlar o JavaW.exe e garantir que ele execute apenas alguns applets ou contate apenas intervalos de IP inofensivos para serviços que você utiliza e que necessitem do Java”.
Outra solução, proposta por Wolfgang Kandek, diretor chefe de tecnologia da Qualys, é utilizar um mecanismo de segurança baseado no Internet Explorer Zone para restringir as páginas que podem carregar applets Java.
Os usuários podem impedir o uso do Java no Internet Explorer Zone ao configurar a chave de registro do Windows 1C00 para 0 emHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones3, permitindo que apenas o Java e as páginas inofensivas fiquem na Zona Confiável, disse Kandek.
Enquanto isso, os usuários do Google Chrome e do Mozilla Firefox podem obter resultados similares bloqueando o carregamento de conteúdo baseado em plug-ins e pedindo a confirmação do usuário.
Outra forma de reduzir o risco de encontrar applets java maliciosos e que é dependente do usuário é utilizar um navegador internet com o Java desabilitado para navegação geral e outro com o Java habilitado apenas para acessar aplicativos web confiáveis .Tal política pode ser difícil de aplicar em uma rede corporativa. Contudo, pode ser prático para usuários conscientes dos riscos de segurança e que precisem utilizar certos aplicativos Java baseados na web a partir de seus computadores pessoais.
Por último, existe um patch Java não oficial criado por Michael Schierl, um pesquisador de segurança que encontrou outras vulnerabilidades no Java, no passado, que está sendo distribuída pelos pesquisadores de segurança independentes Andre M. DiMino e Mila Parkour, da DeepEnd Research.
O patch aparentemente bloqueia a falha explorada nos ataques até o momento, mas seu criador não garante que ela irá bloquear todas as formas de exploração dessa vulnerabilidade, que podem ser utilizadas em futuras falhas.
O patch foi submetido a testes limitados e, como qualquer outro patch não oficial, não oferece nenhuma garantia de que evitará que programas legítimos funcionem corretamente, uma vez que ele seja utilizado. Por isso, DiMino e Parkour o estão fornecendo apenas a empresas que o solicitem por e-mail, explicando claramente as razões pelas quais precisam dele.
Se existe alguma conclusão a ser tirada desses métodos de mitigação propostos é a de que nenhuma dessas soluções será adequada para as necessidade de todos.
“A estratégia mais apropriada irá variar muito, dependendo da postura de segurança de sua organização como também a extensão de utilização do Java em aplicativos críticos de negócios”, disse Stephen Cobb, um evangelista da segurança da ESET.
Muitos especialistas em segurança, incluindo Wisniewski e Cobb, acreditam que a Oracle deveria quebrar seu ciclo regular de quatro meses para criação de patch e corrigir esta vulnerabilidade o mais cedo possível.
A próxima fornada de patches de segurança para os produtos Oracle está programada para ser lançada em outubro.
Fonte:
IDGNOW
URL Fonte: https://infoguerra.com.br/noticia/2701/visualizar/
Comentários