Vulnerabilidade no Java faz Mozilla desativar plugin no Firefox
A Mozilla usou ontem o seu conhecido kill switch para plugins potencialmente perigosos no Firefox. A empresa colocou as versões antigas dos plugins JDK (Java Development Kit) e JRE (Java Runtime Environment) na blacklist, o que faz com que eles sejam desabilitados remotamente nos navegadores em que estiverem instalados. Essa desativação aconteceu devido a descoberta de uma vulnerabilidade no Java 6 Update 30 e Java 7 Update 2 (e inferiores) que está sendo explorada atualmente.
A vulnerabilidade é a CVE-2012-0507 e foi corrigida em uma atualização liberada em fevereiro, mas nem todos os usuários se lembram de atualizar o plugin (eu incluído – ops). Por causa disso os usuários do Firefox com versões antigas do plugin deverão ver a mensagem abaixo ao abrir o navegador nessa terça-feira (3). A opção padrão marcada é a de desativar o plugin, mas se você usa e não quer atualizar, pode ignorar a precaução da Mozilla.
A criadora do Firefox diz ainda que pode adicionar a versão para Mac OS na lista de plugins de Java bloqueados, mas não diz por qual motivo. Eu imagino que essa medida só vai ser adotada caso a própria Apple não corrija no futuro. E ela deve fazer isso logo, pela razão a seguir.
Falha também afeta Mac OS X
Apesar da Sun ser a atual responsável pelo desenvolvimento do Java, a Apple tem um acordo com a empresa que a faz responsável por corrigir vulnerabilidades da plataforma no seu sistema Mac OS X. Como citado acima, o bug foi corrigido em fevereiro, o que daria bastante tempo para a empresa da maçã implementar a correção e disponibilizá-la a seus usuários. Mas parece que a Apple comeu poeira.
Segundo o blog F-Secure uma nova versão do Mac Flashback, um vírus para Mac que se finge de instalador do Flash, apareceu na web e se aproveita do relapso da Apple para atacar usuários de Mac desprotegidos. A F-Secure também diz que há outro programa explorando uma segunda falha do Java, mas são apenas relatos não confirmados.
Ainda assim, a mesma atitude aplicada pela Mozilla é válida aqui: desabilitar o Java o quanto antes e aguardar até a Apple liberar a atualização. Ou continuar navegando com uma dose extra de cautela.