Sun corrige 11 falhas críticas no Java

Saiu no idgnow:

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.9616728207/

O que me deixou curioso foi a citação:

[quote]Como de costume, não foram feitas menções ao Mac OS X, pois a Sun não atualiza as edições gratuitas do JRE e outros componentes Java para sistemas operacionais Mac. Os usuários de Mac mostraram preocupação, pois a Apple não atualiza os códigos Java desde fevereiro.
[/quote][size=9]by Computerworld/EUA[/size]

Alguém sabe pq ?

Abraço.

A base de código nativo (C/C++) do JDK da Apple se baseia no JDK da Sun mas tem várias divergências, e deve ter vulnerabilidades diferentes.

Olá

Fiquem espertos!

Baixem as novas versões JDK and JRE 6 Update 3, JDK and JRE 5.0 Update 13 ou SDK and JRE 1.4.2_16 em http://java.sun.com/javase/downloads/?intcmp=1281

Leiam Sun Advances Security for the Java SE Platform em http://java.sun.com/developer/technicalArticles/javase/security_adv/

[]s
Luca

Não sabia dessa divergência na JDK pra Mac OS.

Abraços.

ironicamente ao ler o titulo do topico eu lembrei da microsoft…

pq sera q ao ler essa expressão “falhas críticas” eu lembro??? deve ser força do abito…

[quote=thingol][quote]
Como de costume, não foram feitas menções ao Mac OS X, pois a Sun não atualiza as edições gratuitas do JRE e outros componentes Java para sistemas operacionais Mac. Os usuários de Mac mostraram preocupação, pois a Apple não atualiza os códigos Java desde fevereiro.
[/quote]
A base de código nativo (C/C++) do JDK da Apple se baseia no JDK da Sun mas tem várias divergências, e deve ter vulnerabilidades diferentes. [/quote]

Não entendi sua citação… o que não entendi foi a parte de edições gratuitas do JRE (Toda a JRE da SUN é gratuita) e a não atualização da JVM por parte da SUN. Mesmo que tenham outras vulnerabilidades o que ficou claro é que eles não atualizam nunca.

É isso ?

Abraço.

É o seguinte: a JVM da Apple é atualizada pela Apple, não pela Sun (assim como a JVM da IBM é atualizada pela IBM, não pela Sun, e a JVM da BEA é atualizada pela BEA, não pela Sun). As quatro JVMs citadas têm bases de código nativo diferentes, portanto têm vulnerabilidades de segurança diferentes, e a responsabilidade é de cada uma das companhias citadas (não é toda da Sun, é óbvio.)

Essa coisa do Java no Mac é bem chatinha mesmo.
A versão da Apple está sempre meio desatualizada (pelo menos em número de versão). Se você quer a versão mais nova, tem que procurar nas profundezas do Apple Developer Connection por uma versão Beta. E se você usa um sistema operacional que não é a última versão, tem que fazer altos hacks para ter uma versão atualizada do Java e metade das coisas não funcionam.

já ví muita gente reclamar dessa JVM da apple, mas poxa, pelo jeito (realmente) JVM não-sun acaba sendo uma dor de cabeça pro desenvolvedor… Tem empresa que faz JVM simplemente por fazer e qualquer atualização da Sun o cara não faz nada, só quando a agua bater na bunda…

mas whatever, que bom que essas falhas foram corrigidas :slight_smile:

Srs, acabei de realizar essa atualização e quando fui acessar uma página da intranet da empresa, um applet que roda nessa página não funcionou no Firefox!?! No IE funcionou normalmente!! A mensagem que apareceu no console foi a seguinte:

java.security.AccessControlException: access denied (java.net.SocketPermission 10.205.188.40:80 connect,resolve)

Isso soh porque atualizei a versão da JVM?? Não entendo como funciona em um browser e não em outro!

[quote=Erex]Srs, acabei de realizar essa atualização e quando fui acessar uma página da intranet da empresa, um applet que roda nessa página não funcionou no Firefox!?! No IE funcionou normalmente!! A mensagem que apareceu no console foi a seguinte:

java.security.AccessControlException: access denied (java.net.SocketPermission 10.205.188.40:80 connect,resolve)

Isso soh porque atualizei a versão da JVM?? Não entendo como funciona em um browser e não em outro!

[/quote]

Qual versao do seu Firefox?
Já passei por problemas em bancos que não abria o Applet de segurança …

Versão Firefox: 2.0.0.7
Versão Java: 1.6.0_03

Eu estava com a versão do Java 1.6.0_02 e com essa mesma versão do Firefox e não estava tendo esse problema!!

Posso estar errado, mas penso que o melhor “custo benefício” e usar a versão imediatamente anterior (1.5), pois ela tem sua estabilidade, e o alvo dos hackers normalmente é a última versão de qualquer software.
De acordo?

Olá

[quote=wellington7] o alvo dos hackers normalmente é a última versão de qualquer software.
De acordo?[/quote]

Não. O alvo dos script kiddies é sempre em cima de versões antigas. Não há o menor custo benefício em usar coisa obsoleta a menos que o custo de mudança seja alto demais. Porém fazer atualizações em TODAS as aplicações servidoras é o mínimo que se espera de um administrador de redes consciente. Assim é admissível que um site esteja com Java 1.5 mas se não estiver com update 13, o admistrador da rede é uma besta desinformada.

[]s
Luca