Duas novas vulnerabilidades críticas no Java 7

Bom dia,

As falhas críticas no Java ,  já não são notícia... uma vez que estes últimos tempos ouve muitas falhas descobertas no Java.

Recentemente o Facebook, Apple, Microsoft, NBC.com foram infetados com malware e todos usaram as vulnerabilidades recém-descobertas em Java.

Security Explorations,  sociedade polaca,  deteta presença de duas vulnerabilidades críticas no Java SE 7 (e apenas esta versão) vulnerabilidades que permitem sair da sandbox.

Oracle foi contactado e foram enviados provas de conceito (proof of concept), mas até agora não respondeu.

É claro que todas essas falhas em repetição tem um impacto sobre a escolha do Java pelos tomadores de decisão no domínio da informática.

Fontes :

softpedia.com
http://news.softpedia.com/news/Zero-Day-Vulnerability-Affecting-Java-7-Update-15-and-Earlier-Versions-Identified-332157.shtml

Security Explorations
http://www.security-explorations.com/en/SE-2012-01-status.html

Isso não é bom, mas creio que logo será corrigido.

Eu já to cansado de ter que explicar para as pessoas que esse problema ocorre apenas com applets, e que Java EE é seguro e que não tem nada a ver com applets. Não sei se é perseguição com a o java, ou com a oracle, mas já tá ficando chato isso.

Não adianta, pois leva o nome Java, as pessoas são orientadas a imagem.

Sabe o que o me deixa quebrado,é a galera do PHP e do .Net ainda ficar falando besteira no meu ouvido. Não sei se é uma impressão só minha mas depois que a oracle comprou a sun essas falhas parecem que só aumentam?

Não adianta, pois leva o nome Java, as pessoas são orientadas a imagem.[/quote]

Sobra até pro JavaScript, só por ter parte do nome similar… Já vi muita gente reclamando, também.

Sabe o que o me deixa quebrado,é a galera do PHP e do .Net ainda ficar falando besteira no meu ouvido. Não sei se é uma impressão só minha mas depois que a oracle comprou a sun essas falhas parecem que só aumentam?[/quote]
Fanatismo é chato mesmo, mas faz parte conviver com isso. Nestes casos so explique uma vez e leva o resto na esportiva.

Sabe o que o me deixa quebrado,é a galera do PHP e do .Net ainda ficar falando besteira no meu ouvido. Não sei se é uma impressão só minha mas depois que a oracle comprou a sun essas falhas parecem que só aumentam?[/quote]

Tenho essa impressão quanto a Oracle também…

Acredito que seja sensacionalismo da mídia.
Embora as falhas sejam verdadeiras e provadas, a mídia aumenta muito e acaba denegrindo a imagem do java.

A linguagem se manteve em primeiro lugar, mas desde 2002 de mantém caindo para outras tecnologias, acredito que essas repercussões da mídia contribuíram a usar menos o JAVA .
Realmente está se tornando um problema!!

fonte: http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html

Abs
Rodrigo Santik

[quote=rsantik]Acredito que seja sensacionalismo da mídia.
Embora as falhas sejam verdadeiras e provadas, a mídia aumenta muito e acaba denegrindo a imagem do java.

A linguagem se manteve em primeiro lugar, mas desde 2002 se mantém caindo para outras tecnologias, acredito que essas repercussões da mídia contribuíram a usar menos o JAVA .
Realmente está se tornando um problema!!

fonte: http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html

Abs
Rodrigo Santik[/quote]

[quote=rsantik]Acredito que seja sensacionalismo da mídia.
Embora as falhas sejam verdadeiras e provadas, a mídia aumenta muito e acaba denegrindo a imagem do java.

A linguagem se manteve em primeiro lugar, mas desde 2002 de mantém caindo para outras tecnologias, acredito que essas repercussões da mídia contribuíram a usar menos o JAVA .
Realmente está se tornando um problema!!

fonte: http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html

Abs
Rodrigo Santik[/quote]

nunca confie no tiobe

Se não me enganho, essa é a primeira vulnerabilidade que afeta apenas a nova versão do Java.
A grande maioria dessas vulnerabilidades já estavam presentes no Java antes da aquisição, então o estória que depois que a Oracle assumiu as vulnerabilidades aumentaram é conto de carochinha. Só estão sendo descobertas com maior frequencia porque somou a antipatia que o pessoal tem com a Oracle à ‘guerra contra os plugins’.

Mas não vejo esse exagero como ponto negativo não, muito pelo contrário. São vulnerabilidades que já existiam e precisavam ser corrigidas, e são justamente as empresas mais visadas que historicamente investem mais em segurança e evoluem melhor nessa parte. Torço pra que as atualizações sejam corrigidas cada vez mais rápido e que o Java tenha uma forma melhor e mais simples de atualizar as correções de segurança.

Google fez isso com o Chrome e o Firefox reagiu e também melhorou sua política de segurança. Até a MS hoje tem um esquema de descoberta de erros, correção e atualização muito melhor, assim como a Adobe fez com o Flash e com o Acrobat. Até a Apple já foi criticada no passado pela lentidão de vulnerabilidades. Todas essas empresas são muito visada por hackers porque seus produtos tem uma popularidade muito grande, principalmente com usuários leigos.

Se vocês olharem no site de desenvolvedores do LibreOffice vão ver que existem várias falhas de segurança e eles demoram meses pra corrigir, algumas são reportadas desde 2008 e ainda não foram corrigidas. Mas como a chance de infectar uma máquina usando essa suíte é remota, não há a mesma urgência do que com o Java.

Sou nova usando a tecnologia java e gostaria de saber mais a respeito de esses problemas só ocorrem com applets, alguém poderia me explicar?

Bom dia,

Não há detalhes técnicos sobre essas vulnerabilidades que foram divulgadas, mas Adam Gowdiak, CEO da Security Explorations, disse falhas estão na API de Reflexão (API Reflection)…

Quem meteu a pressão sobre Oracle foi principalmente o governo dos EUA …

De qualquer forma, o alvo não é incomodar Oracle, mas ter uma tecnologia segura, fiável e de qualidade.

Empresas e pesquisadores como Security Explorations, Kaspersky , etc… que buscam vulnerabilidades é o seu trabalho.

Às vezes, algumas empresas e “Hackers” até são pagos para encontrar vulnerabilidades de segurança.

Bruna Lima problemas de vulnerabilidades no Java serão resolvidos e a linguagem Java ainda tem belos dias pela frente.
Portanto continua aprender Java é uma linguagem excelente para programação orientada a objetos (POO).

E a plataforma Java EE é agora a melhor ao nível serviços e sobretudo desempenho, e aplicações criticas especialmente em comparação com outras soluções PHP, .Net , Python , etc …
Não é uma simples coincidência que JavaEE é a plataforma mais utilizada em finanças, banca e seguros com suas aplicações criticas.
Eu tenho um amigo do Devoxx UK, London, que trabalha nestas questões a city de Londres. Ele faz testes de benchmarking e me disse que o Java EE é o que à de melhor.
Ele usa algoritmos de transações de alta frequência ou negociação de alta frequência e está usando JavaEE e Scala.

[quote=JxtaNode]Bom dia,

Não há detalhes técnicos sobre essas vulnerabilidades que foram divulgadas, mas Adam Gowdiak, CEO da Security Explorations, disse falhas estão na API de Reflexão (API Reflection)…

Quem meteu a pressão sobre Oracle foi principalmente o governo dos EUA …

De qualquer forma, o alvo não é incomodar Oracle, mas ter uma tecnologia segura, fiável e de qualidade.

Empresas e pesquisadores como Security Explorations, Kaspersky , etc… que buscam vulnerabilidades é o seu trabalho.

Às vezes, algumas empresas e “Hackers” até são pagos para encontrar vulnerabilidades de segurança.

Bruna Lima problemas de vulnerabilidades no Java serão resolvidos e a linguagem Java ainda tem belos dias pela frente.
Portanto continua aprender Java é uma linguagem excelente para programação orientada a objetos (POO).

E a plataforma Java EE é agora a melhor ao nível serviços e sobretudo desempenho, e aplicações criticas especialmente em comparação com outras soluções PHP, .Net , Python , etc …
Não é uma simples coincidência que JavaEE é a plataforma mais utilizada em finanças, banca e seguros com suas aplicações criticas.
Eu tenho um amigo do Devoxx UK, London, que trabalha nestas questões a city de Londres. Ele faz testes de benchmarking e me disse que o Java EE é o que à de melhor.
Ele usa algoritmos de transações de alta frequência ou negociação de alta frequência e está usando JavaEE e Scala.

[/quote]

Poxa muito completa sua resposta JxtaNode obrigada

Falhas são encontradas sempre:

PDF:
http://g1.globo.com/tecnologia/noticia/2013/02/adobe-alerta-para-falha-sem-correcao-no-leitor-de-pdf-reader.html

WINDOWS /NET:
http://cio.uol.com.br/noticias/2013/02/08/microsoft-prepara-update-de-seguranca-para-corrigir-57-falhas/

e se voce procurar são centenas todos os meses.

Mas quando é Java tem um grande alarde.

Esta gráfico da TIOBE mostra uma migração de alguns desenvolvedores Java para as linguagens C#, Objective-C e Python. Se observar a linha de cada uma destas linguagens, perceberá que elas também tendem a descer ou estabilizar logo.

O mercado de programadores Java praticamente esteve saturado conforme o gráfico, mas dizer que o Java está sendo menos optado é muito relativo porque o mercado de smartphones por ser “novo” e bastante carente de mão-de-obra e paga salários altos demais e isso realmente promove um deslocamento do Java para Objective-C por exemplo.

O C# sempre esteve “disputando” com o Java, pois qual programador Java nunca pensou na vida em atuar com .Net, especificamente C#? São poucos que não pensaram nisso. O ponto relevante aqui não é o desenvolvedor, mas a necessidade das empresas desenvolverem projetos cada vez mais rápidos e com menores custos, realmente a plataforma de desenvolvimento da Microsoft sempre focou em produtividade e por isso pode colher bons frutos neste estágio do Java e da economia mundial.

Mas quem realmente trabalha com Java e sabe de sua versatilidade, dificilmente pretende trabalhar tão cedo com outras linguagens, isso realmente criará uma resistência para migração de Java a qualquer outra linguagem.

Em relação a futuro, com a Oracle detendo e explorando comercialmente o Java, isso é uma grande dúvida em relação a tamanho de mercado para o Java. A Oracle não pratica preços justos e isso causa grande aversão em empresas e automaticamente gera incerteza em todos nós quando pensamos em Java.

Esperava que a Google trouxesse vida própria ao Java novamente, mas tá demorando, principalmente por causa de brigas judiciais por direitos do Java e ainda a Google só fez versão para smartphones.

Esta Oracle realmente atrofia o Java, não me admira as vezes este bombardeio especulatório contra o Java.

Se quiser saber mais sobre mitos e verdades sobre segurança do Java, leiam este artigo http://oracle2java.blogspot.com.br/2013/02/o-fim-do-java-e-um-sensacionalismo-epico.html.

wiliamps

[quote=wiliamps]Esta gráfico da TIOBE mostra uma migração de alguns desenvolvedores Java para as linguagens C#, Objective-C e Python. Se observar a linha de cada uma destas linguagens, perceberá que elas também tendem a descer ou estabilizar logo.

O mercado de programadores Java praticamente esteve saturado conforme o gráfico, mas dizer que o Java está sendo menos optado é muito relativo porque o mercado de smartphones por ser “novo” e bastante carente de mão-de-obra e paga salários altos demais e isso realmente promove um deslocamento do Java para Objective-C por exemplo.

O C# sempre esteve “disputando” com o Java, pois qual programador Java nunca pensou na vida em atuar com .Net, especificamente C#? São poucos que não pensaram nisso. O ponto relevante aqui não é o desenvolvedor, mas a necessidade das empresas desenvolverem projetos cada vez mais rápidos e com menores custos, realmente a plataforma de desenvolvimento da Microsoft sempre focou em produtividade e por isso pode colher bons frutos neste estágio do Java e da economia mundial.

Mas quem realmente trabalha com Java e sabe de sua versatilidade, dificilmente pretende trabalhar tão cedo com outras linguagens, isso realmente criará uma resistência para migração de Java a qualquer outra linguagem.

Em relação a futuro, com a Oracle detendo e explorando comercialmente o Java, isso é uma grande dúvida em relação a tamanho de mercado para o Java. A Oracle não pratica preços justos e isso causa grande aversão em empresas e automaticamente gera incerteza em todos nós quando pensamos em Java.

Esperava que a Google trouxesse vida própria ao Java novamente, mas tá demorando, principalmente por causa de brigas judiciais por direitos do Java e ainda a Google só fez versão para smartphones.

Esta Oracle realmente atrofia o Java, não me admira as vezes este bombardeio especulatório contra o Java.

Se quiser saber mais sobre mitos e verdades sobre segurança do Java, leiam este artigo http://oracle2java.blogspot.com.br/2013/02/o-fim-do-java-e-um-sensacionalismo-epico.html.

wiliamps
http://oracle2java.blogspot.com/[/quote]
Excelente seu comentário.

[quote=wiliamps]Esta gráfico da TIOBE mostra uma migração de alguns desenvolvedores Java para as linguagens C#, Objective-C e Python. Se observar a linha de cada uma destas linguagens, perceberá que elas também tendem a descer ou estabilizar logo.
[/quote]
Não, o TIOBE mostra as linguagens mais pesquisadas, isso é muito relativo. Quando o Google anunciou que iria criar uma linguagem que chamaria de Go ela emplacou o top 10 do TIOBE devido ao BUZZ em cima dela. Isso não significa que o pessoal largou suas linguagens pra trabalhar com Go.

De novo? O Java, Netbeans e Glassfish continuam gratuitos, que preço seria mais justo que esse? A Oracle te pagar pra usar a ferramenta?

Aversão em empresas? A Oracle sempre foi forte em empresas, a segunda marca mais forte em empresas, perdendo pra MS. Quase toda a renda da Oracle vem de empresas, é o core dela. A ‘aversão’ está na comunidade de desenvolvedores que usam SL.

Boa Noite

No site da Oracle já esta disponível um novo update para correção de algumas vulnerabilidades para o Java 6 e 7, eles lançaram no dia 04/03/2013, segue os links:

http://www.oracle.com/technetwork/java/javase/downloads/index.html
http://www.oracle.com/technetwork/java/javase/7u17-relnotes-1915289.html
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-1493-1915081.html

Falou.