Mozilla considera desativar o suporte a Java no Firefox

por Alex Blewitt , traduzido por Eder Ignatowicz em 04 Out 2011 |

A Mozilla levantou a possibilidade de desativação do suporte a Java no browser Firefox. Foram identificados problemas no Java Plugin, que tornariam o browser vulnerável à técnica de cracking BEAST (ataque via browser a SSL/TLS). Isto levou a uma sugestão de inclusão do plugin Java numa lista de bloqueio (blocklist).

Do blog de segurança da Mozilla:

Recomendamos que o Java seja desativado através do gerenciador de Add-ons, como precaução. Estamos atualmente avaliando a viabilidade de desabilitar o Java universalmente nas instalações do Firefox.

O ataque BEAST só é eficaz em ambientes TLS 1.0 (a versão 1.1 é imune ao ataque, mas não é frequentemente utilizada), e a JRE executada no browser pode ser o ponto de partida para o rastreamento inicial de pacotes utilizado pelo ataque.

Uma pesquisa recente indica que o Java está entre as três principais causas de falhas de segurança no navegador. A pesquisa investiga a forma que máquinas Windows podem facilmente ser comprometidas e posiciona o Java no topo da lista de vulnerabilidades. A presença de um JRE (Java Runtime Environment) não atualizado é responsável por 37% das vulnerabilidades; logo depois vêm o Adobe Reader (32%) e o Flash (16%).

O InfoQ.com contatou a Oracle para sobre essas questões, mas ainda não recebeu resposta. Ainda não foi tomada nenhuma decisão definitiva referente à inserção do Java na lista de bloqueio de plugins da Mozilla.