segunda-feira, 3 de junho de 2013

A Oracle revela planos para melhorias de segurança Java

Oracle planeja fazer alterações para reforçar a segurança do Java, incluindo a fixação de seu recurso de verificação de revogação de certificados, impedindo que os applets não assinados sejam executados por padrão e adicionando opções de gerenciamento centralizado com recursos de listas brancas para ambientes corporativos.

Essas mudanças, junto com outros esforços relacionados à segurança, se destinam a "diminuir a exploração e a gravidade das possíveis vulnerabilidades do Java no ambiente de trabalho e ainda fornecer proteções adicionais de segurança para Java operar no ambiente de servidor", disse Nandini Ramani, vice-presidente de engenharia para Java Client e plataformas móveis da Oracle, em um post no blog na quinta-feira.

O post de Ramani, que discute "a dignidade da segurança", aborda indiretamente algumas das críticas e preocupações levantadas por pesquisadores de segurança este ano após uma série de ataques bem sucedidos e generalizada que exploraram zero-day - anteriormente não corrigida - vulnerabilidades do plug-in do Java nos navegadores que compromete os computadores.

Ramani reiterou os planos da Oracle para acelerar o cronograma de patching do Java a partir de outubro, alinhando-a com o cronograma de correção para outros produtos da empresa, e revelou alguns dos esforços da empresa para executar o código de segurança no plung-in do Java.

"A equipe de desenvolvimento Java ampliou o uso de ferramentas de testes automatizados de segurança, facilitando a cobertura regular ao longo de grandes seções de código da plataforma Java", disse ela. A equipe trabalhou com o principal fornecedor da Oracle para serviços de análise de código fonte com a finalidade de ferramentas mais eficazes no ambiente Java e também desenvolveu a chamada "difusão" que são ferramentas de análise para eliminar certos tipos de vulnerabilidades.

A aparente falta de fonte de comentários apropriados no código de segurança e nos testes de garantia de qualidade para Java 7 foi uma das críticas trazidas pelos pesquisadores de segurança, tendo em conta o grande número de vulnerabilidades e críticas que foram encontrados na plataforma.


Ramani também observou os novos níveis de segurança e avisos para applets - aplicações Java baseadas na web - que foram introduzidos no Java 7 Update 10 e Java 7 Update 21, respectivamente.


Estas mudanças foram feitas para desencorajar a execução de applets assinados ou auto-assinado, disse ela. "Em um futuro próximo, por padrão, Java não vai mais permitir a execução de código de auto-assinado ou não assinado."

Tal comportamento padrão faz sentido do ponto de vista de segurança, considerando que a maioria dos exploits Java são entregues como applets Java não assinados. No entanto, tem havido casos de exploits Java assinados digitalmente sendo usados ​​no passado e pesquisadores de segurança esperam que seu número aumente.



Veja a matéria completa em: ComputerWorld.com

Fonte: ComputerWorld.com, traduzido por ALJUG

Nenhum comentário:

Postar um comentário