Segundo um relatório da empresa de segurança Bit9, embora a Oracle tenha promovido melhorias significativas na segurança do Java nos últimos seis meses, as vulnerabilidades continuam a representar um grande risco para organizações, porque a maioria delas possui versões desatualizadas do software em seus sistemas.

Os dados mostram que o Java 6 é a versão predominante em ambientes corporativos, presente em mais de 80% dos computadores. Essa versão teve o suporte público encerrado em abril, e apenas os clientes da Oracle com um contrato de longo prazo continuarão a receber atualizações de segurança para ela.

 

Além disso, segundo o relatório, a maioria das empresas que roda o Java 6 não possui as últimas atualizações de segurança para ele. O Java 7, versão que é o foco dos recentes esforços de segurança da Oracle, foi encontrado em apenas cerca de 15% dos sistemas de endpoints.

O estudo apontou que a versão Java mais amplamente difundida foi a Java 6 Update 20, instalada em um pouco mais de 9% dos endpoints. Ela é vulnerável a 215 problemas de segurança, dos quais 96 receberam a pontuação máxima de risco da escala Common Vulnerability Scoring System (CVSS), segundo a Bit9. A última atualização de segurança pública disponível para o Java 6 é o Update 45, lançado em abril ao mesmo tempo em que o Java 7 Update 21 – a última versão disponível quando a Bit9 coletou os dados para o seu relatório.

Somente 3% dos sistemas de computadores das empresas estavam rodando essa atualização, afirmou a empresa de segurança. Mas esses endpoints pertenciam a apenas 0,25% das organizações da amostra, o que parece indicar que as companhias com um número maior de terminais são mais propensas a ter a última versão do Java instalada em seus sistemas.

O relatório também revelou que muitos sistemas corporativos possuem várias versões do software: cerca de 65% deles possuíam mais do que duas versões do Java instaladas ao mesmo tempo, e aproximadamente 20% tinham mais de três versões. Em média, as organizações têm mais de 50 versões diferentes do Java instaladas. Cerca de 5% das empresas possuem mais de 100 versões. Isso acontece principalmente pela forma como o processo de instalação e atualização do software lida com versões antigas.

Segundo Harry Sverdlove, CTO da Bit9, o atualizador do Java 7 tentará remover instalações existentes do Java 6, mas uma instalação limpa do Java 7 não removerá versões antigas. As versões do Java 5 não são removidas durante a instalação do Java 7 ou processos de atualização, disse.

Os dados da Bit9 mostraram que 93% das organizações têm uma versão do Java em alguns de seus sistemas, que possui no mínimo cinco anos de idade. Versões de 5 a 10 anos de idade estão presentes em 50% das máquinas.

O problema de ter múltiplas versões instaladas ao mesmo tempo em um sistema é que os atacantes podem usar as versões mais antigas e vulneráveis para invadir o computador. Quando isso acontece, a segurança das versões mais recentes não ajuda. Além disso, ter diferentes versões em um mesmo sistema aumenta a usabilidade, podendo executar aplicativos legados, mas de uma perspectiva de segurança é um pesadelo, disse Sverdlove. “Cada versão instalada introduz ainda outro conjunto de vulnerabilidades conhecidas que crackers podem usar”, disse.

Esse tipo de fragmentação dentro de ambientes corporativos costuma não ser intencional, pois muitas empresas não entendem ou não mantêm o controle sobre quantas versões foram instaladas, segundo Sverdlove.

Para evitar isso, as organizações devem, em primeiro lugar, avaliar quais as versões Java possuem e onde estão instaladas. O próximo passo é, por questões de política de segurança, considerar seriamente se precisam do Java e, em caso afirmativo, para quê, disse Sverdlove.

Independentemente das necessidades individuais do Java, as organizações devem criar uma política de desenvolvimento e aplicá-la. “Se a sua política é a de não ter Java, então eles devem usar ferramentas para bloqueá-lo, se determinarem que só precisam do software em certas máquinas, então devem removê-la de todas as outras”, explicou o executivo.

O mais comum para crackers é atacar instalações Java através de plugins de navegadores, usando exploits hospedados em websites.

O relatório da Bit9 não contém informações específicas sobre quantas das instalações Java identificadas em endpoints corporativos eram acessíveis por meio de browser nos PCs. Mas a maioria dos sistemas amostrados era de computadores portáteis e desktops, de modo que a probabilidade das instalações expostas a ataques é alta, Sverdlove disse.

O estudo se baseia em dados sobre o uso do Java coletados de aproximadamente 1 milhão de sistemas de endpoints de quase 400 organizações que usam o serviço de reputação de software da Bit9.

Com informações de Computerworld