Krebs On Security - V četrtek pozno zvečer so mednarodni centri za posredovanje pri omrežni incidentih (CERT) na spletu objavili opozorilo, da Java vsebuje nerazkrito in nezakrpano ranljivost (0-day). Na spletu že obstajajo orodja, ki omenjeno ranljivost izkoriščajo, zato so do razrešitve situacije priporočili odstranitev ali onemogočitev Jave v brskalnikih. Ameriški CERT redno objavlja podobna opozorila, a je redko tako neposreden, da priporoči odstranitev programa.

V Javi 7 Update 10 in vseh prejšnjih verzijah je namreč luknja, ki napadalcu omogoča izvedbo poljubne kode na oddaljenem računalniku, s čimer lahko prevzame nadzor nad njim. Ranljivost je prisotna v Oraclovem Java Runtime...

Slo-Tech - Društvo OpenBlend vas 20.9.2012 vabi na peto izvedbo konference OpenBlend, tokrat v mirnem okolju gradu Jablje nedaleč iz Ljubljane. Konferenca je namenjena predvsem navdušencem nad okoljem Java in z njim povezanimi tehnologijami. Letošnji predavatlji prihajajo iz najrazličnejših podjetij ter organizacij z več kotičkov sveta. Tako bodo svoje delo predstavili Gavin King in Keith Babo iz podjetja Red Hat, Ben Straub iz GitHuba, Benjamin Savoy iz podjetja CloudBees in drugi. Več informacij je na voljo na spletni strani društva OpenBlend, ki enkrat mesečno v Kiberpipi organizira podobne (vendar krajše) dogodke - CafeBabe.

Slashdot - Vse, kaže, da imamo pred sabo ponovitev lanske situacije - zanesljiv, ponovljiv, avtomatiziran 0-day exploitable napad zoper zadnjo različico Oraclove Jave - takega, ki omogoča prevzem nadzora nad uporabnikovim računalnikom že z obiskom okužene spletne strani, brez vprašanj za ali vedenja od uporabnika - ter seveda šlampast odziv Oracla, ki naj bi za napako vedel že od pomladi, vendar je še zdaj ni uredil.

Exploit izkorišča napako v izvedbi peskovnika (sandbox) za javanske applete, tj. svojčas še kar popularen način za pisanje interaktivnih spletnih aplikacij, ki sta ga do danes skoraj v celoti zamenjala najprej Flash in zdaj HTML5. Takšnale koda s pomočjo Reflectiona in slabo spisanega internega razreda...

Reuters - V procesu Oracle proti Googlu zaradi domnevnih kršitev avtorskih pravic in patentov Jave v Androidu, ki se je na prvi stopnji končal in prinesel grenko razočaranje za Oracle, se je pretekli teden zgodila zanimiva stranpot. Sodnik William Alsup je od podjetij zahteval, da razkrijeta imena "internetnih avtorjev, novinarjev, komentatorjev ali blogerjev, ki sta jih najeli oziroma jim plačali za objavo komentarjev primera".

Tako Oracle kot Google sta počakala in tik pred iztekom roka sodišču poslala izjavo, da temu kriteriju ne ustreza nihče. Odločitev sodnika je strokovnjake presenetila, saj niti Oracle niti Google nista zahtevala česa takšnega niti ni to v navadi. Nekateri so se celo spraševali, ali je tovrstna odločitev sploh zakonita....

Computerworld - Spor med Oraclom in Hewlett-Packardom glede arhitekture Itanium in njene podpore v Oraclovih podatkovnih bazah še zdaleč ni končan, čeprav se je lani zdel Itanium pokopan. Že leta 2010 je podporo za umirajočo platformo ukinil Microsoft, še pred tem Red Hat, lani pa je to napovedal Oracle. Odločitev je silno razburila HP, ki proda približno 90 odstotkov vseh sistemov s čipi Itanium in bi imel zaradi tega visoke izgube. Ta si HP želi pri življenju obdržati tako močno, da so celo Intelu plačevali, da Itaniuma ni pokopal. Doslej sta bila HP in Oracle partnerja, a so slednjemu najprej zagrozili in potem vložili tožbo, ker naj bi Oracle s prenehanjem podpore kršil pogodbene obveznosti. Sodni mlini na prvi stopnji so premleli in dali prav Hewlett-Packardu.

Kalifornijsko sodišče v...

ZDNet - Microsoftov Malware Protection Center se je na zanimiv način vmešal v nedavno debato o varnosti Mac OS X. Analizirali so enega ob obstoječih trojancev in zaključili, da Applov operacijski sistem še zdaleč ni varen pred malwarom, pravzaprav da najhujše še prihaja.

Pod "zanimivo" mislimo, da zadevni trojanec ne izkorišča pomanjkljivosti v samem OS-u ali popularnih vtičnikih (flash oz. java),...

Krebs On Security - Enkrat jeseni se je na črnem trgu začelo trgovanje s posebej zahrbtno varnostno pomanjkljivostjo v namizni javi (J2SE), ki je očitno prisotna že dolga dolga leta, saj deluje na vseh glavnih izdajah platforme (7.0, 6.0, 5.0 in celo 1.x) in na vseh treh platformah (Linux, Mac OS X, Windows). Luknja omogoča zagon poljubnega sistemskega programa že z obiskom okužene spletne strani in to brez vsakršne potrditve s strani uporabnika. Prisotna je v večini popularnih exploit kitih, npr. Blackhole ($4000 za licenco + $200 mesečni najem prednameščenega strežnika), SEO Sploit Pack in od minulega tedna tudi v odprtokodnem Metasploitu (glej filmček za demonstracijo).

Varnostni raziskovalec Brian Krebs ob tem poudarja, da so pomanjkljivosti v Javi...

Forbes - Heker in varnostni raziskovalec Charlie Miller je uspel zaobiti varnostni mehanizem na iNapravicah, ki zagotavlja poganjanje zgolj podpisane in odobrene kode iz AppStore-a. Kot razloži v priloženem videu, je mogoče z uporabo WebKit widgeta (brskalnika) s tretjega strežnika prenesti nepodpisano kodo in jo pognati. Ta koda lahko stori poljubne reči, npr. naloži zimzeleni glasbeni hit, pokrade kontakte iz imenika, naloži nove fotke, spremlja notifikacije .. in tako naprej. Podrobnosti bo razkril na prihajajoči konferenci SysCan na Tajvanu.

Za demonstracijo je v App Store prijavil konceptno aplikacijo InstaStock, ki naj bi služila zgolj prikazu borznih kotacij, v resnici pa je vsebovala njegov hek. Tradicionalno strogi Applovi ocenjevalci so jo spustili skoz in Miller je posnel kratek filmček z demonstracijo in ga postavil na YouTube. Od tu naprej žal ni...