Se você tem o Java 7 instalado em seu computador, atenção: uma falha recém-descoberta neste sistema (e ainda não corrigida pela Oracle, que é seu fornecedor e a princípio recusou-se a comentar) está sendo ativamente explorada por malfeitores.

A infecção dos computadores é drive-by, ou seja, pode ocorrer sem intervenção do usuário, pela simples visita a um site infectado (e a infecção pode ocorrer mesmo sem o consentimento do proprietário do site) usando um navegador web com o plugin Java ativado.

Por enquanto os ataques detectados se concentram em explorar o alvo mais amplo: os usuários de Java em ambientes Windows.

Mas a ComputerWorld testou e confirmou que a mesma vulnerabilidade está presente quando o Java está rodando no Mac e no Linux, o que permite imaginar que em breve alguém terá a ideia de fazer um malware multiplataforma ou mesmo algum voltado especificamente aos usuários de Java no Mac, como foi o caso do malware Flashback, em abril.

Verificando e prevenindo

Vale mencionar que o Java não faz mais parte da instalação do OS X desde o lançamento do Lion, no ano passado.

Mesmo no caso dos usuários que ativaram o Java por meio dos recursos do próprio OS X, a probabilidade maior é que eles tenham o Java 6, que (segundo informações preliminares) não tem a mesma vulnerabilidade.

Eu não instalei o Java diretamente a partir do site da Oracle, e a tela acima do utilitário Preferências Java (disponível em em Aplicativos / Utilitários) mostra que o Java presente em meu Mac por meio das ferramentas do sistema é da versão 6 e, mais importante que isso para evitar infecções tipo drive by, que o plugin correspondente está desativado nos navegadores.

Se preferir ativar/desativar diretamente nos navegadores, também é possível. No Safari é em Preferências | Segurança | Ativar Java, no Firefox é em Tools | Addons | Plugins, e no Chrome você pode visitar a URL especial chrome://plugins/

A próxima atualização programada do Java está marcada pela Oracle para outubro, e não se sabe ainda se haverá correção antes disso. Não há razão para medidas extremas, apenas prevenção, pois no momento a exploração ativa da vulberabilidade no Java dos Macs é apenas potencial.

Por via das dúvidas, vou continuar mantendo o plugin Java desativado, como mencionei recentemente na minha coluna no TechTudo, e recomendo que você verifique cuidadosamente a sua situação, e ao detectar risco passe a ativar o Java apenas para acessar sites em que tenha confiança.

Em todos os casos, pode valer a pena ficar atento a novas notícias e orientações por parte da Oracle ou do fornecedor das suas soluções de segurança.

Atualização: alguns dias depois da publicação deste artigo, a Oracle publicou uma atualização do Java 7 que corrige a vulnerabilidade.