Com o Java 7 Update 21, a Oracle disponibilizou uma versão de correção que pode ser considerada como importante. A versão inclui 42 patches que corrigem problemas de segurança; a Oracle afirma que 39 dessas questões potencialmente permitem que invasores tomem o controle de computadores sem autenticação. Tendo em conta os numerosos ataques recentes à plataforma Java, a Oracle recomenda que os usuários instalem a nova atualização o mais rápido possível. Dezenove das falhas de segurança corrigidas com a nova atualização são explicitamente classificadas no mais alto  nível (de 10) do Common Vulnerability Scoring System (CVSS); muitas outras falhas seriam igualmente críticas, mas são classificadas como baixas pela Oracle, por serem mais complexas de acessar e explorar.

O aviso de atualização lista as vulnerabilidades e o padrão é familiar a qualquer um que tenha observado o mais recente conjunto de avisos de atualizações. A lista de falhas inclui 7 falhas críticas no sistema de gráficos 2D, com outras falhas espalhadas pelos vários subcomponentes do Java. A Oracle também inesperadamente lançou uma atualização para o Java 6, o Java 6 Update 45, que trata de um subconjunto de vulnerabilidades aplicáveis ​​na versão mais antiga do Java; o Java 6 estava previsto para descontinuar as atualizações de segurança, mas a Oracle parece ter mantido as atualizações para o Java 6, enquanto tenta limpar o ataque atual de vulnerabilidades de segurança.

O applet de segurança da Oracle também foi reforçado com ainda mais restrições sobre o que os applets podem executar. Com o Java 7 Update 17, a Oracle adicionou um simples controle deslizante para definir o nível de segurança de applets não assinados no Painel de Controle Java; isso permitiu que os usuários escolhessem um cenário de risco baixo, médio, alto ou muito alto. A última atualização da empresa refina esta abordagem. No início de 2013, a Oracle anunciou que iria modificar a forma como o plugin do navegador lida com código não assinado e auto-assinado.

Agora, o nível de “baixo risco” não está mais disponível, o que significa que applets assinados e auto-assinados não podem ser executados sem disparar um aviso prévio ao usuário. O plugin do navegador só vai iniciar a máquina virtual Java e executar um aplicativo depois que os usuários confirmarem que eles realmente querem executar conteúdo Java. Desenvolvedores que entregam applets Java para clientes terão atentar para obter os applets assinados com um certificado CA válido.

Os avisos para os applets Java agora vêm em dois tipos: um applet que possui um certificado válido gera um diálogo de aviso com o logotipo Java nele inserido e os detalhes do certificado do applet, mas um applet que está assinado com um certificado inválido, é assinado ou auto-assinado, irá gerar um aviso com um escudo amarelo e triângulo de advertência, que é projetado para recomendar que o applet não deve ser executado. Há um problema, porém, com a verificação do certificado; invasores estavam usando certificados revogados como parte de seus ataques e o Java runtime não estava fazendo nada para verificar a validade dos mesmos. Na última atualização do Java, isso também não mudou muito; a verificação da validação e revogação online ainda estão desativadas por padrão.

Para se manterem seguros, a Heise UK aconselha os usuários a desabilitar o Java no navegador; isso pode ser feito no Windows através do painel de controle Java selecionando “Desativar conteúdo Java no navegador” (Disable Java content in the browser), na guia Segurança (Security). Se o Java é ocasionalmente necessário, os usuários devem, pelo menos, ativar a função “clique para exibir” (click-to-play) em navegadores como o Firefox e o Chrome. As edições atualizadas do Java, JDK e JRE estão disponíveis na página de downloads do Java SE.

Com informações de The H Online.