Oracle atualiza Java, mas especialistas dizem que falhas continuam

A Oracle lançou, neste domingo (13) uma atualização de emergência para o software Java de navegação na web, mas especialistas em segurança afirmam que o patch não protegeu os computadores pessoais contra ataques de hackers.

A fabricante liberou a atualização alguns dias depois de o Departamento de Segurança Interna dos Estados Unidos ter dito aos usuários para desabilitar o software devido a bugs, que estavam abrindo brechas para roubos de identidade e outros delitos.

O fato de a Oracle não ter garantido rapidamente a segurança do software significa que os computadores que operam com ele nos navegadores continuam vulneráveis a criminosos, que tentam realizar delitos como roubar números de cartão de crédito e senhas.

Adam Gowdiak, pesquisador da Security Explorations, da Polônia, que descobriu diversos bugs no software um ano atrás, disse que a atualização do Java não corrige algumas falhas de segurança críticas.

"Não ousamos dizer aos usuários que é seguro voltar a habilitar o Java", afirmou.

Alguns consultores de segurança estão recomendando que as empresas removam o Java dos navegadores de todos os funcionários, exceto aqueles que precisem absolutamente usá-lo para os negócios.

O vice-presidente de segurança da Rapid 7, HD Moore, estima dois anos para que a Oracle conserte todos os problemas de segurança já identificados na versão usada para navegar na Web.

"A coisa mais segura a fazer a essa altura é presumir que o Java sempre será vulnerável. As pessoas na realidade não precisam do Java", disse Moore.

Um porta-voz da Oracle se recusou a comentar.

A Oracle anunciou domingo que a atualização havia removido duas vulnerabilidades na versão do Java 7 destinada a navegadores.

Também informou que as proteções de segurança do Java haviam sido alteradas para "fortes" por default, o que dificulta a execução de programas suspeitos em um computador sem o conhecimento do usuário.