quarta-feira, 26 de setembro de 2012

Pesquisadores alertam Oracle para mais uma falha grave no Java

O especialista em segurança Adam Gowdiak, da Security Explorations, publicou na lista de discussão "Full-Disclosure" que a Oracle foi alertada para mais uma falha grave no Java Runtime Environment (JRE), o software responsável pela execução de aplicativos programados na linguagem de mesmo nome. O problema permite que um applet Java "escape" das restrições impostas pelo plug-in do navegador web, permitindo que a mera visita a uma página instale vírus no sistema.

Gowdiak é o mesmo pesquisador que disse ter comunicado a Oracle em abril sobre uma falha no Java que foi explorada por hackers em agosto. Ele já havia alertado que, apesar da correção de emergência lançada pela Oracle, o Java ainda estava vulnerável.

A vulnerabilidade foi confirmada e explorada com sucesso nas versões 5, 6 e 7 do Java. Nos navegadores web, o problema foi testado no Firefox, Chrome, Internet Explorer, Opera e Safari – todos os ataques tiveram sucesso.

Não se sabe se o problema estaria em uso por hackers na web, porque o erro foi identificado por meio de testes de segurança no software, não com análise de ataques. A Security Explorations não informou publicamente nenhum detalhe técnico do problema – essas informações foram enviadas apenas à Oracle, desenvolvedora do Java, que deve produzir uma atualização do software que corrija a falha.

Devido às falhas no Java e à pequena quantidade de sites que usam o software de forma legítima, vários sites e especialistas de segurança estão recomendando que o plug-in do Java seja desativado nos navegadores web, que são os mais expostos aos problemas no software.

Fonte: Globo.com

segunda-feira, 17 de setembro de 2012

Google Libera J2ObjC

O Google lançou hoje, dia 14 de setembro, o J2ObjC, um tradutor que converte o código Java Objective-C para iPhone e iPad. A idéia central do J2ObjC é permitir que desenvolvedores possam compartilhar informações de código non-UI, de forma facilitada, entre dispositivos Android, ou aplicações GWT server-based que utilizam Java e dispositivos iOS da Apple que usam Objective-C.

O processo de tradução, atualmente, envolve a conversão de java.lang.Object para NSObject, boolean para BOOL, byte para char, além de variáveis ​​de instância que se tornam tornar propriedades, classes internas e anônimas que são convertidas para designar outras classes, de maneira específica; dessa forma, um arquivo de mapeamento, então, define a conversão de métodos Java para métodos iOS. O processo está documentado no Design Notes e, tal conversão seria como o exemplo abaixo:

int getLength(List list, int index){return list.get(index).length();}


para

- (int)getLengthWIthJavaUtilListJavaUtilList *)list withInt:index { return [(NSString *)
[list getWithInt:index] length];}


Como o código Java é garbage collected, o tradutor também precisa gerir o mapeamento que encontrar. Os desenvolvedores podem especificar se este utiliza a contagem de referência (padrão), garbage collected com libgc (com --use-gc) ou Automatic Resource Counting (ARC, --use-arc) em "translator time". Os desenvolvedores esperam desenvolver o padrão ARC no futuro. Entretanto, eles não estão pensando em desenvolver qualquer interface multi-plataforma, porque vão preferir focar na tradução da lógica de aplicação e outros elementos non-UI. O tradutor pode ser integrado ao workflow do IDE XCode ou com Maven e Make.

Fonte: Under-Linux

quarta-feira, 12 de setembro de 2012

Oracle Confirma Existência de Outra Falha Crítica no Java

  Quando a Oracle finalmente corrigiu a falha 0-Day no Java (CVE-2012-4681), que estava sendo ativamente explorada em seu "estado selvagem", a empresa especialista em segurança Security Explorations divulgou a detecção de uma falha similar, que poderia muito em breve colocar usuários Java em perigo novamente. "O patch out-of-band lançado pela Oracle, ontem, entre outras coisas, corrigiu o vetor de exploração com a utilização do class SunToolkit, que é utilizado em nossos códigos de prova de conceito". Essas foram as considerações feitas pelo CEO da empresa, Adam Gowdiak.
  Gowdiak acrescentou que a existência desta falha foi confirmada pela Oracle, e será abordada no próximo Patch Update Java Críitical, que está agendado para liberação no dia 16 de outubro. Mesmo que não exista nenhuma menção de ataques ativos explorando a falha, os usuários anteciparam que atacantes podem desativar ou remover Java e/ou Applets Java até que o patch seja liberado para solucionar este problema.

quinta-feira, 6 de setembro de 2012

Atualização da Oracle traz novas vulnerabilidades


Depois de descobrir um problema no último Java 7 framework, a Oracle tomou medidas de urgência e logo liberou uma atualização para corrigir a vulnerabilidade do sistema. Entretanto, segundo pesquisadores da companhia Security Explorations, o novo patch contém falhas importantes contra a segurança do software.

Com os problemas anteriores corrigidos, agora existem novas lacunas que permitem que o usuário escape da “sandbox” (uma espécie de proteção para os arquivos do sistema) do Java Virtual Machine.

De acordo com os pesquisadores, uma prova de demonstração das novas vulnerabilidades foi enviada à Oracle. Nenhum código foi divulgado pela Security Explorations, e um artigo sobre o tema deve ser divulgado em breve. Entretanto, esse material será diponibilizado somente após a correção das atuais falhas.


Fonte: TecMundo

ALJUG JAVA DAY II

Bom dia Pessoal,

Foi confirmado o evento para o dia 01/12 deste ano.

Em breve mais detalhes.

segunda-feira, 3 de setembro de 2012

Mozilla pede para desativar o Java de seu navegador


A Mozilla pediu para que os usuários de seu navegador desativem o Java, pois o plugin do Java está com erro grave quando houve a atualização para o Update 7 do Java. A desenvolvedora já está em busca de maneiras de bloquear os sites e hackers que se aproveitam desta falha, mas a empresa de Mountain View ainda não estipulou uma data para o lançamento desta atualização.
  A empresa também informa que mais novidades devem sem publicadas em seu blog oficial e informa que efetuarão atualização para facilitar a ativação e desativação do plugin Java através de uma mensagem, quando o houver acesso a uma página que utiliza o software afetado.
  As versões Aurora e Beta do navegador obterá novos controles de segurança, que ajuda a proteger os usuários contra plugins desatualizados e vulneráveis. A Oracle que é a empresa responsável pelo Java, até o momento não providenciou um meio de acabar o problema em seu produto, mas está falha já foi analisada por especialistas de segurança desde abril deste ano.