Java

Oracle 14 января выпустит квартальный выпуск исправлений для всей линейки продукции, включая Oracle Database, Java и MySQL. Всего компания планирует выпустить 147 исправлений.

Особенно много исправлений ожидается в Java, поэтому пользователям данной среды следует уделить внимание установке новой версии продукта. Всего Oracle выпустит 36 исправлений для Java SE, 34 из которых закрывают разные архитектурные уязвимости, которые можно использовать для хакерских атак и доступа к данным без соответствующей авторизации. 25 исправлений будут касаться набора продуктов Oracle Fusion Middleware, в том числе WebCenter и GlassFish Server. 22 из них закрывают слабости, которые могут приводить к краже данных, пишет cybersecurity.ru.

Количество обнаруженных и заблокированных «Лабораторией Касперского» атак с использованием неизвестных Java-эксплойтов в период с сентября 2012 года по август 2013 года составило 4,2 млн, говорится в сообщении разработчиков.

Злоумышленники применяют эксплойты — вредоносные программы, использующие уязвимости в легитимном ПО, — для скрытой загрузки других вредоносных программ, нацеленных на персональные данные и деньги пользователей. При этом на протяжении долгого времени создаются разные варианты одних и тех же эксплойтов, сигнатуры которых не сразу попадают в антивирусные базы. В таких случаях эксплойты могут обойти антивирусную защиту — именно поэтому они все чаще применяются в кибератаках.

Количество атак с использованием Java-эксплойтов в период с сентября 2012 года по август 2013 года составило 14,1 млн, что на треть больше, чем за предыдущий аналогичный период, сообщает «Лаборатория Касперского».

Опасность эксплойтов, использующих уязвимости ПО, в их незаметной работе. Если на компьютере установлена уязвимая версия какой-либо программы, пользователю достаточно зайти на зараженную веб-страницу или открыть файл, содержащий вредоносный код, чтобы стать жертвой атаки.

Традиционно Adobe Flash Player, Adobe Reader и Oracle Java являлись наиболее часто атакуемым злоумышленниками программами. Однако как показало исследование «Лаборатории Касперского», за последний год именно Java стала основной целью киберзлоумышленников.

Компания Oracle выпустила обновление для Java: была устранена уязвимость, которой пользовался для заражения троянец McRat (с его злоумышленники получали доступ к пользовательским данным).

Согласно сообщению Oracle, в новых версиях Java 6 Update 41 и Java 7 Update 17 устранены дыры, которыми пользовался троянец. В Oracle призывают пользователей обновиться до новой версии Java "как можно скорее", пишет cybersecurity.

Последняя стабильная версия Java для пользователей подвержена новой атаке, говорят независимые специалисты. По их словам, атака работает даже в том случае, если у пользователя выставлены максимальные настройки безопасности, а программное обеспечение полностью обновлено.

Напомним, что за последний месяц в Java уже были устранены две уязвимости "нулевого дня", однако по словам специалистов в Java по-прежнему есть проблемы с безопасностью. Сейчас эксперты говорят об уязвимостях в пакете Java 7 Update 10, выпущенном в декабре 2012 года.

По данным польской ИТ-компании Security Explorations, данная версия среды даже при максимальных настройках безопасности позволяет запускать злонамеренные Java-апплеты, представляющие опасность для компьютера, пишет cybersecurity.

Компания Oracle выпустила обновление, закрывающее опасную уязвимость в программной платформе Java. Оно вышло через три дня после того, как эксперты подразделения министерства национальной безопасности США по противодействию киберугрозам (US-CERT) призвали пользователей отключить надстройку Java для браузеров ввиду опасности обнаруженной бреши.

Уязвимость использовала реальная троянская программа Mal/JavaJar-B, включенная в состав хакерских пакетов Blackhol и NuclearPack. Она атаковала системы на базе ОС Windows и Linux. Помимо уязвимости, о которой предупреждали специалисты US-CERT, обновление исправляет еще одну аналогичную ошибку в Java. Обе уязвимости позволяют злоумышленникам получить несанкционированный доступ к компьютеру, запустив на нем произвольный код.

Согласно заявлению компании, обновление меняет сам способ взаимодействия с апплетами: «применяемый по умолчанию уровень безопасности увеличен со «среднего» до «высокого». Это означает, что теперь каждый раз при запуске неподписанного Java-приложения будет запрашиваться санкция пользователя, сообщает anti-malware.ru.

Компания Oracle выпустила обновление, закрывающее опасную уязвимость в программной платформе Java. Оно вышло через три дня после того, как эксперты подразделения министерства национальной безопасности США по противодействию киберугрозам (US-CERT) призвали пользователей отключить надстройку Java для браузеров ввиду опасности обнаруженной бреши.

Уязвимость использовала реальная троянская программа Mal/JavaJar-B, включенная в состав хакерских пакетов Blackhol и NuclearPack. Она атаковала системы на базе ОС Windows и Linux. Помимо уязвимости, о которой предупреждали специалисты US-CERT, обновление исправляет еще одну аналогичную ошибку в Java.

Обе уязвимости позволяют злоумышленникам получить несанкционированный доступ к компьютеру, запустив на нем произвольный код. Согласно заявлению компании, обновление меняет сам способ взаимодействия с апплетами: «применяемый по умолчанию уровень безопасности увеличен со «среднего» до «высокого». Это означает, что теперь каждый раз при запуске неподписанного Java-приложения будет запрашиваться санкция пользователя, сообщает vedomosti.ru.

Участились случаи массового распространения спама в использующих протокол ICQ клиентах для обмена сообщениями. Злоумышленники предлагают пользователям скачать приложение для мобильного телефона, якобы являющееся клиентом для социальной сети «В Контакте».

В рассылке сообщается, что с помощью данной программы можно с большим комфортом пользоваться возможностями данной социальной сети. Программа представляет собой файл в формате .jar, сообщают специалисты компании «Доктор Веб».

В процессе установки приложение отсылает СМС на один из платных номеров и просит пользователя ввести в соответствующей форме на сайте злоумышленников полученный в ответном СМС код. Таким образом пользователь соглашается стать подписчиком некой услуги, за использование которой с его счета мобильного оператора будет ежемесячно списываться некоторая сумма.

Независимые исследователи продемонстрировали, как эксплойт-код BEAST может без особенного труда расшифровать данные, передаваемые по защищенному Интернет-соединению. Теперь производители браузеров размышляют над тем, как побороть реализованный в BEAST метод компрометации данных; специалисты Mozilla, похоже, готовы пойти даже на весьма радикальные шаги, пишет anti-malware.ru.

В числе возможных решений они рассматривают полный отказ от обработки Java в обозревателе. По словам специалистов, они понимают, что подобный шаг весьма негативно повлияет на удобство работы пользователей в Интернете, однако в силу того, что на данный момент нет никакой информации о возможных контрмерах со стороны Oracle (которая ответственна за Java), а также по причине серьезности угрозы, представляемой BEAST-подобными атаками, возможно внесение всех версий Java-плагина Firefox в стоп-список.

Пока что разработчиков все еще одолевают сомнения, и они взвешивают положительные и отрицательные стороны обсуждаемого решения.

Facebook представила мобильное приложение для телефонов с поддержкой Java. По функционалу Java-приложение будет максимально приближено к приложениям Facebook для iOS, Symbian и Android. С его помощью можно будет читать ленту новостей и просматривать сообщения, фотографии, списки событий и профили пользователей.

Среди особенностей программы — удобный домашний экран, функция синхронизации контактов и возможность быстрой прокрутки фотографий и новостных лент. Абоненты некоторых операторов смогут в течение трех месяцев пользоваться приложением бесплатно. Facebook заключил договоры с 14 операторами из разных стран, в том числе и с украинским Life и польским Play, пишет "Руформатор".

Скачать программу можно на сайте платформы Snaptu.

Специалисты отметили увеличение объема вредоносного кода, распространяемого кибермошенниками через уязвимости в Java. Впервые за десять месяцев появились новые лидеры в Tоп 10 среди вредоносных программ. До этого наибольшую опасность представляли уязвимости в PDF. Сейчас они сменились на Java эксплойт.

Самой популярной угрозой является Java.Trojan.Exploit.Bytverify.N, которую можно найти на взломанных веб-сайтах. Троян проникает на ПК с операционной системой Windows с помощью манипулируемого Java-Applet через Drive-by-Dowload.

Специалисты рекомендуют помимо настройки защиты в режиме реального времени обязательно обновлять любое установленное программное обеспечение, пишет soft.mail.ru.

Адам Мессинджер, вице-президент по развитию Oracle, сообщил о планах корпорации выпускать две версии JDK (Java Development Kit): бесплатную (как и раньше) и коммерческую (Premium).

Ожидается, что обе версии будут основаны на виртуальной Java-машине (JVM), которая объединит разработки JRockit (VM от самой Oracle) и HotSpot (реализация от Sun) и станет частью Open Source-проекта OpenJDK.

Адам не сообщил о том, чем же конкретно (кроме цены, разумеется) коммерческая версия JVM будет отличаться от бесплатной. Не объявлена и предполагаемая стоимость платной редакции, отмечает Nixp.ru.

Компания Google отреагировала на обвинения корпорации Oracle, которая подала на интернет-гиганта в суд за нарушение патентов. В сообщении пресс-службы заявления Oracle названы «необоснованной атакой» на разработчиков. Компания Google подчеркивает, что Java относится к открытому ПО и не может принадлежать одной корпорации.

«Мы будем решительно бороться за стандарты открытого ПО и продолжим вместе с другими разработчиками развивать платформу Android», — подчеркнули в Google. Многие компании, создающие приложения для мобильной ОС Android, открыто поддержали интернет-корпорацию, отмечает Onliner.by.

Напомним, на прошлой неделе стало известно, что Oracle обвиняет Google в незаконном использовании запатентованных технологий, связанных с Java.

Сервис мгновенных сообщений ICQ представил бесплатное приложение ICQ для телефонов с поддержкой Java. Мобильное приложение ICQ, которое уже доступно для iPhone, iPod Touch, BlackBerry и платформы Windows Mobile, становится доступным для Nokia и Sony Ericsson и других телефонов с поддержкой Java (J2ME). Запуск в будущем приложений Symbian и Android подведет завершающую черту в адаптации программы для мобильных IM. Благодаря ICQ mobile, пользователи могут оставаться на связи с друзьями, находясь в дороге.

Приложение ICQ для телефонов с поддержкой Java предоставляет весь спектр возможностей программы: от изменения статуса до управления контакт-листом. Использование мобильного ICQ позволит значительно сократить расходы на SMS. ICQ mobile для телефонов с поддержкой Java (J2ME) и Windows Mobile доступно для бесплатного скачивания здесь. ICQ для iPhone и iPod Touch доступно для бесплатного скачивания в Apple Store, а приложение ICQ для BlackBerry - на BlackBerry Apps store. Новое приложение доступно на английском, немецком, русском, чешском и иврите, передает CNews.

Компания Aladdin переходит на новый технологический этап развития линейки средств аутентификации и хранения ключевой информации eToken. На данный момент все модели eToken, включая eToken PRO, комбинированные устройства eToken NG-OTP и eToken NG-FLASH, переведены на новую современную платформу Java Card.

Платформа беспечивает возможность расширения функционала всех моделей Aladdin eToken за счет загрузки дополнительных приложений (апплетов). Именно так обеспечена поддержка российской криптографии в электронных ключах eToken ГОСТ, в настоящее время находящихся на сертификационных испытаниях в ФСБ России

Компания “Эксельсиор” выпустила Excelsior JET 6.5, сертифицированную реализацию платформы Java SE 6, снабженной статическим компилятором Java. Средство предназначено для предотвращения кражи собственности, подделки кода и взлома защиты данных.

Корпоративная редакция новой версии продукта позволяет разработчикам полностью предкомпилировать свои RCP-приложения непосредственно в исполняемый код и распространять их без исходных класc-файлов, оставляя декомпиляторы байткода Java «не у дел».

Ключевым новшеством технологии Эксельсиор является реализация Equinox OSGi - ядра среды исполнения Eclipse – на уровне виртуальной машины Java. В результате механизмы защиты кода, реализованные ранее в виртуальной машине от Эксельсиор, стало возможно использовать также и для приложений Eclipse RCP.

Компании Sun и Qualcomm сообщили о портировании платформы JavaSE 6 на процессорную архитектуру Qualcomm Snapdragon, базирующуюся на ядре мобильных процессоров ARM. На базе данной платформы работают новые нетбуки самой Qualcomm, кроме того на ARM в данный момент готовятся к релизу решения класса нетбуков от других производителей.

Новая сборка JavaSE 6 под ARM позволяет оптимизировать производительность Java-приложений и их потребление ресурсов на платформе Snapdragon для оптимального расхода заряда аккумулятора. "Новая версия оптимизированной JavaSE на процессорах Snapdragon работает в 32 раза быстрее, чем на предыдущих процессорах ARM", - отмечают в Sun, сообщение приводит cybersecurity.

Компания Sun запустит онлайн-магазин Java-приложений. Там будут представлены приложения для различных устройств. Компания рассчитывает, что этот сервис позволит ей увеличить доходы в период кризиса. По словам Шварца, если учитывать только пользователей ПК, работающих с Java, то аудитория нового сервиса Sun составляет около миллиарда человек.

По данным аналитиков, передает Lenta.ru, в настоящее время в мире работает более 4,5 миллиарда устройств с поддержкой Java. Более детальная информация относительно онлайнового магазина Java-приложений будет озвучена представителями Sun в начале июня. Пока известно лишь, что все программы перед размещением на этом сервисе будут протестированы Sun.

Яндекс запустил мобильный Я.Онлайн для трех платформ - Windows Mobile, Symbian и Java. Приложение, сочетающее в себе мобильную почту и мессенджер, теперь доступно большинству владельцев мобильных устройств. Приложение работает на push-технологии. Больше не нужно проверять вручную, пришла ли почта, - Я.Онлайн сообщает об этом сам.

Как только в Яндекс.Почту придет письмо, на экране мобильного появится уведомление. Мобильный Я.Онлайн позволяет не только писать письма, но и обмениваться мгновенными сообщениями. Общаться можно с пользователями Яндекса и любых других настольных или мобильных сервисов, поддерживающих Jabber-протокол, — например, Gmail, QIP Infium или LiveJournal.

Новая версия Java - программного обеспечения от Sun Microsystems под номером 1.6.0_11 исправляет по меньшей мере 14 уязвимостей в безопасности, свойственных ее предшественнице. Многие из этих уязвимостей могут быть весьма опасными. Кроме того, по словам представителей компании, апдейт исправляет еще 34 ошибки, связанных не с безопасностью, а со стабильностью и качеством работы Java.

Пользователи Windows могут обновить свою Java, щелкнув по ее значку в "Панели управления" и выбрав опцию автообновления. В случае с Linux и Solaris придется скачивать дистрибутив с сайта Sun. Стоит отметить, что пользователям Mac OS X обновление пока недоступно, поскольку Apple самостоятельно производит свою версию Java и патчи к ней, передает PCWorld.