Java

A Joeffice egy nyílt forrású, Apache 2.0 licences irodai programcsomag (kezdemény), amely jelenleg alpha állapotban van. Java-ban írták, fut Windowson, OS X-en, Linuxon. Használható online és offline. A programcsomag létrehozója, Anthony Goubard 30 nap alatt jutott el a kiadott alpha állapotig. A fejlesztés mentét dokumentálta és egy csomó videót tett elérhetővé róla. Goubard olyan fejlesztőket keres, akik beszállnának a munkába.

Részletek a programcsomag honlapján.

A soron következő CPU - azaz Critical Patch Update - eredetileg 2013. február 19-én érkezett volna a Java SE-hez, de mivel a benne kijavított 50 új biztonsági hiba egyikét aktívan kihasználják, a vállalat úgy döntött, hogy felgyorsítja a kiadási folyamatot. Az Oracle erősen ajánlja a frissítés mielőbbi telepítését. Részletek a bejelentésben és a kapcsolódó blogbejegyzésben.

A Security Explorations részéről Adam Gowdiak egy levelet küldött ma a FD levelezési listára, amelyben arról ír, hogy probléma van a Java SE 7 új biztonsági szolgáltatásaival. Az Oracle Java-ért felelős biztonsági vezetője szerint újabban jelentős fejlesztéseket eszközöltek a Java-ban, például azért, hogy megakadályozzák a csendes exploitálásokat. A vezető szerint a probléma az, hogy az emberek nem értik még ezeknek az új szolgáltatásoknak a működését.

A 2012. októberében kiadott Java SE 7 Update 10-től kezdve a felhasználó beállíthatja azt a biztonsági szintet, amely akkor kerül használatra, ha a böngészőben aláírás nélküli (unsigned) Java alkalmazásokat futtatnak. A Java teljes letiltásán kívül négy szint állítható be:

Ahogy arról már korábban szó volt, jelentések szerint underground fórumokon Java 7 u11-hez használható exploit-ot árusítottak. Akkor még csak sejteni lehetett, hogy a frissen patchelt Java 7 u11 továbbra is sebezhető. Most viszont Adam Gowdiak a Security Explorations-től megerősítette a feltételezést a full-disclosure listán. Levele szerint a Java 7 u11 (JRE version 1.7.0_11-b21) alatt ki lehet törni a Java biztonsági sandbox-ból, valamint két új biztonsági sebezhetőséget is felfedeztek a Java SE 7 kódjában. A két sebezhetőség leírását - működő PoC kódok társaságában - eljuttatták az Oracle-höz.

A részletek itt.

Brian Krebs blogján arról számol be, hogy alig telt el 24 óra azóta, hogy az Oracle javítást adott ki a legutóbbi Java 0day-re, hétfőn máris újabb exploitot kínáltak megvételre. Az egyik exkluzív cyberbűnözői fórumon megjelent egy üzenet, amelyben az állt, hogy az eladó két vevőnek is értékesítette már az új exploitot, darabonként 5000 dollárért. A felkínált exploit állítólag élesített és az eladó a forrás átadását is megígérte.

Erősen valószínű, hogy a vasárnapi javítás után a fenyegetettség nem szűnt meg, így érdemes továbbra is fokozottan figyelni erre a problémára. Részletek itt.

Az Oracle reagált a friss kritikus 0day Java sebezhetőség hírekre és javítást adott ki a CVE-2013-0422-re. A javítás - Java 7 Update 11 - elérhető az Oracle weboldaláról. Részletek itt.

A hírek szerint egy új 0day Java sebezhetőséget használnak ki aktívan az interneten. A legfrissebb Java verzió - Java 7 Update 10 - érintett. Bölcs dolog a Java plugin böngészőben való letiltása:

Az idei Devoxx Java fejlesztői konferencia egyik érdekes előadása Adam Gowdiak nevéhez fűződik, a bemutató vázlatát a Security vulnerabilities in Java SE linket követve olvashatjuk el, a PDF formátumú prezentációt pedig a se-2012-01-devoxx.pdf letöltésével tekinthetjük meg.