Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)
เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม
ฟีเจอร์ใหม่ของ Java 8 คือ Project Lambda ที่ถูกเลื่อนมาจาก Java 7 โดยจะเป็นการเพิ่มฟีเจอร์ด้าน closure ให้ตัวภาษา Java เพื่อช่วยให้การทำงานแบบมัลติคอร์ดีขึ้น ทีมงานตัดสินใจเลื่อนกำหนดการของ Java 8 ออกไปแทนการตัด Lambda ทิ้งแล้วออกตามกำหนดเดิม เพื่อให้โลกของ Java ได้ใช้ฟีเจอร์ Lambda ไม่ช้าเกินไปนัก
ส่วน Java 9 ก็โดนผลกระทบให้เลื่อนออกไปด้วย คาดว่าจะเป็นต้นปี 2016 ครับ
ที่มา - Mark Reinhold via Phoronix
ออราเคิลออก Java 7u21 และ Java 6u45 บนแพลตฟอร์มอื่นๆ ไปแล้ว ทางฝั่งแอปเปิลที่ออก Java 6 เวอร์ชันของตัวเองบน OS X ก็อัพเดตตามเรียบร้อย (สำหรับผู้ที่ใช้ Java 7 ต้องอัพผ่านระบบของออราเคิลกันเองเหมือนระบบปฏิบัติการอื่นๆ)
อัพเดตของแอปเปิลตัวนี้ใช้ชื่อว่า Java for OS X 2013-003 (สำหรับ Lion ขึ้นไป) หรือ Java for Mac OS X 10.6 Update 15 (สำหรับ Snow Leopard) ผู้ใช้แมคที่ยังใช้ Java 6 ก็อัพเดตกันได้ผ่าน Software Update เพื่อความปลอดภัยครับ
ในโอกาสเดียวกัน แอปเปิลยังออก Safari 6.0.4 (Lion ขึ้นไป) และ Safari 5.1.9 (Snow Leopard) ซึ่งเพิ่มตัวเลือกการปิด Java เป็นรายเว็บไซต์ด้วย
ที่มา - The Mac Security Blog
ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java
แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)
Hasan Rizvi ผู้บริหารของออราเคิลยอมรับว่าแพตช์ชุดนี้ยังแก้ปัญหาได้ไม่หมด แต่ก็ครอบคลุมช่องโหว่ที่เคยมีประวัติการถูกโจมตีหมดแล้ว เขายังยอมรับว่าลูกค้าองค์กรแสดงความห่วงใยต่อปัญหาความปลอดภัยของ Java และอาจส่งผลต่อการเลิกใช้ Java ขององค์กรเหล่านี้ได้
จากข้อมูลของบริษัท Kaspersky ระบุว่าในปีที่แล้ว Java ขึ้นเป็นอันดับหนึ่งของโปรแกรมที่โดนเจาะมากที่สุด คิดเป็นสัดส่วนถึง 50% ของการเจาะระบบทั้งหมด ส่วนอันดับสองคือ Adobe Reader 28% ในขณะที่ Windows/IE มีสัดส่วนการโดนเจาะแค่ 3% เท่านั้น
ใครที่ยังจำเป็นต้องติดตั้ง Java ในเครื่องก็ควรรีบอัพเดตกันโดยด่วนครับ
ที่มา - Oracle, Ars Technica, Krebs on Security, Reuters
on 12/04/13 9:39
Tags:
ดัชนีวัดความนิยมของภาษาโปรแกรม TIOBE เผยสถิติเดือนเมษายน ภาษา Objective-C ร่วงลงสู่อันดับ 4 เป็นครั้งแรกที่ตำแหน่งลดลง (ก่อนหน้านี้อันดับพุ่งขึ้นเรื่อยๆ จนมาหยุดที่อันดับ 3) โดน C++ แซงกลับสู่ตำแหน่งเดิมอีกครั้ง
Paul Jansen กรรมการผู้จัดการของ TIOBE กล่าวว่า "หากมองในระยะยาว Objective-C ยังถือว่าโตขึ้น แต่ในระยะสั้นนั้นไม่ค่อยดีเท่าไหร่นัก เหตุผลหลักน่าจะมาจาก iPhone และ iPad ได้รับความนิยมลดลง การที่ Samsung ขึ้นมาเป็นผู้นำตลาดโมบายอาจทำให้ Java ใน Android มีอันดับความนิยมเพิ่มขึ้นในอนาคตอันใกล้ ส่วน Java กับ C นั้นเปอร์เซ็นต์ความนิยมเริ่มขยับมาใกล้กัน (C - 17.862%, Java - 17.681%) อาจจะมีการสลับตำแหน่งกันในเดือนหน้า"
การจัดตำแหน่งของ TIOBE นั้น สำรวจจากจำนวนผู้ใช้ คอร์ส และ third-party โดยใช้ search engine ที่ได้รับความนิยมต่างๆ ในการสำรวจ
on 04/04/13 1:49
Tags:
หลาย ๆ คนคงจำภาษา Xtend กันไม่ได้ ภาษา Xtend เป็นหนึ่งในโครงการของมูลนิธิ Eclipse โดยมีเป้าหมายให้ Java ดูน่าใช้งานมากขึ้น โดยมีลักษณะเด่นอยู่ที่ตัวโค๊ดจะถูกแปลให้อยู่ในรูปของโค๊ดภาษา Java ก่อนที่จะถูกแปลให้เป็น Java bytecode อีกทีหนึ่ง ซึ่งต่างกับภาษาอื่น ๆ ที่ทำงานบน Java VM เหมือนกันอย่างเช่น Scala หรือ JRuby ที่จะแปลโค๊ดไปเป็น Java bytecode โดยตรง
สำหรับในเวอร์ชั่น 2.4 นั้น ฟีเจอร์สำคัญที่เพิ่มเข้ามาก็คือการรองรับการดีบั๊กโปรแกรมของแอนดรอยด์ เดิมที Xtend สามารถนำไปเขียนแอพลิเคชั่นของแอนดรอยด์ได้อยู่แล้ว แต่การดีบั๊กโค๊ดจะทำผ่าน JSR-45 ซึ่ง Dalvik VM นั้นไม่รองรับ ในเวอร์ชั่น 2.4 นี้จะเพิ่มการรองรับการดีบั๊กโปรแกรมที่ทำงานบน Dalvik VM เข้าไป ทำให้เราสามารถดีบั๊กโปรแกรมของแอนดรอยด์ได้ครับ
นอกจากนี้ยังมีการปรับปรุงในส่วนของตัวภาษาเอง และการปรับปรุงตัว IDE ในอีกหลายจุด รวมทั้งการแก้บั๊กอีกกว่า 300 รายการ รายละเอียดสามารถอ่านได้ใน Release Notes
ที่มา : Xtend
ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)
ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว
แต่ล่าสุดมีคนพบว่าแอพเพล็ตที่ถูก sign ด้วยใบรับรองดิจิทัลจากบริษัทที่มีตัวตนจริงแห่งหนึ่ง กลับเป็นมัลแวร์ที่ปลอมตัวมาด้วยใบรับรองที่ถูกขโมยไป ทำให้มัลแวร์ตัวนี้สามารถทำงานได้ทันทีถ้าหากผู้ใช้เข้าเว็บไซต์ที่ฝังแอพเพล็ตเอาไว้ โดย Java จะไม่ขึ้นคำเตือนใดๆ เพราะถือว่าเป็นแอพเพล็ตที่เชื่อถือได้
จากการสอบสวนพบว่าใบรับรองดิจิทัลฉบับนี้รับทราบกันทั่วไปว่าถูกขโมย และถูกเพิกถอน (revoke) โดยผู้ออกใบอนุญาตอย่าง GoDaddy ไปตั้งแต่เดือนธันวาคม 2012 แต่ค่าดีฟอลต์ของ Java SE ไม่เปิดใช้งานฟีเจอร์ที่คอยเช็คดูว่าใบอนุญาตถูกเพิกถอนไปหรือไม่ (check certificates for revocation) กลายเป็นช่องโหว่ง่ายๆ ให้แฮ็กเกอร์สามารถใช้ประโยชน์ได้นั่นเอง
ที่มา - Eric Romang via Infoworld
Red Hat ประกาศรับช่วงบทบาทการเป็นผู้นำโครงการ OpenJDK 6 ต่อจากออราเคิล หลังจากออราเคิลหยุดสนับสนุน Java 6 อย่างเป็นทางการเมื่อช่วงสิ้นเดือนกุมภาพันธ์ที่ผ่านมา
Red Hat อธิบายว่าหน่วยงานจำนวนมากยังใช้ Java 6 อยู่ (โดยเฉพาะลูกค้า JBoss ของบริษัทเอง) และต้องการสนับสนุน Java 6 ต่อไปผ่านโครงการ OpenJDK ที่เป็นโอเพนซอร์ส (Red Hat มีส่วนกับ OpenJDK มานานแล้ว แต่ไม่ได้เป็นผู้นำโครงการ)
ที่มา - Red Hat
ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว
ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที
อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว
เช่นเดียวกับข่าว Java ข่าวก่อนๆ นั่นคือผู้ใช้ควรอัพเดตเวอร์ชันล่าสุดทันที หรือปิดการทำงานของ Java บนเบราว์เซอร์ถ้าไม่จำเป็นต้องใช้งาน
ที่มา - Oracle, The Next Web
Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)
ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้
Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด
ทางทีมของ Gowdiak ยืนยันว่าเป็นช่องโหว่อย่างแน่นอน และถ้าออราเคิลยังยืนยันแบบเดิมอยู่ เขาก็จะเปิดเผยข้อมูลของช่องโหว่ต่อสาธารณะต่อไป
on 23/02/13 18:02
Tags:
เดิมที Java มักถูกวิจารณ์ในแง่ของแนวทางในการพัฒนาซอฟต์แวร์ที่มีความซับซ้อน และซอฟต์แวร์ที่ได้ใช้ทรัพยากรระบบมาก แต่ก็ยังเป็นแพลตฟอร์มได้รับความนิยมเนื่องเพราะ จำนวน ความหลากหลาย และขีดความสามารถของไลบรารี จำนวนผู้ใช้งาน ความปลอดภัย ค่าใช้จ่าย (ฟรี) ฯลฯ แต่หลังจากที่ Oracle ได้ซื้อ Java ไปจาก Sun ข่าวไม่ดีต่าง ๆ ได้ออกมาจำนวนมาก ไม่ว่าจะเป็นเรื่องความปลอดภัย (เฟซบุ๊ก, ทวิตเตอร์, แอปเปิล, ไมโครซอฟท์) การฟ้องร้อง และเตือนหรือห้ามไม่ใช้งาน Java ที่สำคัญท่าทีของ Oracle ที่มีต่อเรื่องราวทั้งหมดไม่น่าประทับใจเท่าไร (มีเรื่องหนึ่งที่ผมอ่านแล้วค่อนข้างตกใจคือ "ไม่จ่ายเรา เราไม่แก้บั๊กให้") การจะไปหวังพึ่งพาระบบเปิดจาก OpenJDK ก็พบกับปัจจัยเสี่ยงที่โครงการจะโดน Oracle ฟ้องในภายหลัง กล่าวโดยสรุปคือ Java กำลังจะกลายเป็นแพลตฟอร์มที่ไม่น่าใช้มากขึ้นเรื่อย ๆ
คำถามที่จะเกิดขึ้นคือ "แล้วเราจะใช้อะไรแทน Java?"
ไมโครซอฟท์ออกแถลงยืนยันว่าบริษัทเป็นเหยื่อของการแฮ็กผ่านช่องโหว่เดียวกับเฟซบุ๊กและแอปเปิล โดยคอมพิวเตอร์จำนวนหนึ่งรวมถึงคอมพิวเตอร์ในส่วนธุรกิจแมคติดมัลแวร์ที่อาศัยช่องโหว่ของ Java sandbox เช่นเดียวกับรายอื่นๆ
ไมโครซอฟท์กำลังตรวจสอบความเสียหาย แต่ระหว่างนี้ยังไม่มีหลักฐานใดๆ แสดงว่ามีข้อมูลลูกค้าหลุดออกไปกับมัลแวร์นี้
ที่มา - TechNet
ไมโครซอฟท์, EMC, และ NetApp แถลงในฐานะผู้เชี่ยวชาญที่ไม่มีส่วนได้ส่วนเสียกับคดี (amici curiae) ในคดีลิขสิทธิ์ API จาวาระหว่างออราเคิลกับกูเกิล แสดงการสนับสนุนให้ศาลอุทธรณ์กลับคำพิพากษาศาลชั้นต้น
ตัวเอกสารยื่นเข้าสู่ศาลแล้วแต่ยังไม่ได้เปิดเผยออกมาสู่สาธารณะ (คาดว่าทางศาลจะเปิดเผยออกมาเร็วๆ นี้) แต่ The Register ได้สำเนาออกมาระบุว่าเนื้อหาวิจารณ์คำพิพากษาศาลชั้นต้นว่าเป็นผลของการตีความกฎหมายลิขสิทธิ์ผิดพลาดอย่างมีนัยสำคัญหลายจุด และหากศาลอุทธรณ์ยังยืนยันคำตัดสินเช่นเดิม จะมีผลอันตรายต่อความคาดหวังที่รับรู้โดยทั่วไปในอุตสาหกรรมซอฟต์แวร์
ไมโครซอฟท์นั้นชัดเจนว่ายืนร่วมออราเคิลในคดีนี้เพราะเป็นผู้ถือลิขสิทธิ์ใน API จำนวนมาก เช่น เทคโนโลยี .NET ที่แม้จะเปิดตัว "ภาษา" อย่าง C# ออกมาเป็นเทคโนโลยีเปิด แต่ตัว API พื้นฐานนั้นยังมีข้อจำกัดจากไมโครซอฟท์หลายจุด หากแนวทางพิพากษาว่า API ไม่มีลิขสิทธิ์ยังคงถูกยืนยันจากศาลไปเช่นนี้ ในอนาคตก็อาจจะมีหน่วยงานต่างๆ รวมถึงบริษัทคู่แข่งเข้ามาทำซอฟต์แวร์ที่มี API เหมือนกันอีกจำนวนมาก
ที่มา - The Register
on 21/02/13 18:35
Tags:
Java 6 จะหมดระยะสนับสนุนสิ้นเดือนกุมภาพันธ์นี้ (ประกาศของออราเคิล) แต่ยังมีหน่วยงานอีกมากที่ยังอยู่กับ Java 6 และยังไม่ยอมอัพเกรดไปยัง Java 7
หนึ่งในองค์กรที่ยังใช้ Java 6 คือกูเกิล ซึ่งก็เริ่มขยับตัวบ้างแล้ว เมื่อสัปดาห์ก่อนกูเกิลออก App Engine 1.7.5 ที่ของใหม่คือการรองรับ Java 7 เป็นฟีเจอร์ทดสอบ (experimental) แล้ว
ฟีเจอร์อย่างอื่นได้แก่ รองรับ Google Cloud Endpoints สำหรับสร้างจุดเชื่อมต่อระหว่างแอพมือถือกับเอนจินที่สร้างบนกลุ่มเมฆ, รองรับเครื่องเสมือนแบบ High-Memory Instances และการแจ้งเตือน Mail Bounce Notifications
นอกจากนี้กูเกิลยังอัพเดต Google Plugin for Eclipse ให้เป็นรุ่นใหม่ล่าสุดเพื่อรองรับฟีเจอร์ใหม่ๆ เหล่านี้ด้วย
ที่มา - Google App Engine Blog
ต่อจากข่าว แอปเปิลโดนแฮ็กจากช่องโหว่ Java ล่าสุดแอปเปิลออกอัพเดต Java สำหรับผู้ใช้ Mac OS X แล้ว
อัพเดตตัวนี้ใช้เลขรุ่นว่า Java for OS X 2013-001 โดยเทียบเท่ากับ Java SE 6 (1.6.0_41) ของออราเคิล
นอกจากแก้ปัญหาความปลอดภัยแล้ว อัพเดตตัวนี้ยังสั่งปิดการทำงานของปลั๊กอิน Java SE 6 (ซึ่งตกรุ่นแล้ว) ภายในเว็บเบราว์เซอร์ คนที่ต้องการใช้งาน Java บนเบราว์เซอร์จำเป็นต้องดาวน์โหลด Java SE 7 จากออราเคิลมาติดตั้งเอง
ที่มา - Apple Support, 9to5mac
ไม่กี่วันก่อนมีข่าวออกมาว่าเฟซบุ๊กโดนแฮ็กผ่านทางแล็ปท็อปของพนักงาน
วันนี้แอปเปิลก็ได้ออกมาประกาศว่าโดนแฮ็กจากแฮ็กเกอร์กลุ่มเดียวกันเช่นกัน โดยคอมพิวเตอร์แมคจำนวนหนึ่งของพนักงานได้ถูกแฮ็กผ่านทางช่องโหว่ความปลอดภัยของจาวาในลักษณะเดียวกันกับที่พนักงานของเฟซบุ๊กโดน กล่าวคือผ่านทางการเข้าชมเว็บไซต์สำหรับนักพัฒนาเว็บหนึ่งที่ถูกแฮ็กมาก่อน ทั้งนี้แอปเปิลยืนยันว่าไม่มีหลักฐานใดๆ บ่งชี้ว่ามีข้อมูลภายในหลุดออกมา
แอปเปิลยังเผยเพิ่มเติมว่าเตรียมออกอัพเดทสำหรับป้องกันผู้ใช้จากช่องโหว่ดังกล่าวเร็วๆ นี้และกำลังร่วมมือกับเจ้าหน้าที่ของทางการเพื่อตามหาต้นตอของการมัลแวร์นี้
แอปเปิลเป็นองค์กรล่าสุดที่ออกมาประกาศว่าโดนโจมตี หลังจากที่ก่อนหน้านี้ การโจมตีได้เกิดกับ เฟซบุ๊ก ทวิตเตอร์ หนังสือพิมพ์วอลล์สตรีทเจอร์นัล หนังสือพิมพ์เดอะนิวยอร์กไทมส์ ไปแล้ว
on 16/02/13 13:49
Tags:
ออราเคิลยื่นเอกสารอุทธรณ์ฉบับเต็มที่ประกาศไว้ตั้งแต่เดือนพฤศจิกายนที่ผ่านมา คัดค้านคำตัดสินของศาลชั้นต้นที่ระบุว่า API ไม่มีลิขสิทธิ์ ตรงกับแนวทางก่อนหน้านี้ที่การอุทธรณ์จะเน้นหนักไปที่ API เพราะสิทธิบัตรในส่วนของ JVM หลายตัวนั้นกำลังจะหมดอายุแล้ว
ส่วนที่เป็นข่าวที่สุด คงเป็นส่วนคำอุปมาอุปมัยระหว่าง API ของจาวากับนิยายเรื่องแฮร์รี พอตเตอร์ ว่า
แอน ดรอยด์ ต้องการตีพิมพ์หนังสือขายดี เธอก็อปปี้หนังสือเรื่อง "แฮร์รี พอตเตอร์และภาคีนกฟีนิกซ์" เธอก๊อปปี้ชื่อบททั้งหมด เธอก๊อปปี้ประโยคแรกของแต่ละย่อหน้า แล้วเขียนส่วนที่เหลือขึ้นใหม่ เธอรีบวางตลาดหนังสือของเธอวางตลาดก่อนผู้เขียนคนแรกโดยใช้ชื่อหนังสือว่า "แฮรี่ พอตเตอร์ภาค 5 โดยแอน ดรอยด์"
เจ เค โรว์ลิง ฟ้องเพื่อปกป้องลิขสิทธิ์ แต่แอน ดรอยด์ระบุว่าเธอเขียนหนังสือขึ้นใหม่เกือบทั้งหมด และการวางโครงเรื่องให้คล้ายกันเป็นการใช้งานอย่างเป็นธรรม
ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน
บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก
Facebook ประกาศว่าตัวเองโดนแฮ็กเมื่อเดือนมกราคมที่ผ่านมา โดยเกิดจากพนักงานของ Facebook จำนวนหนึ่งเข้าชมเว็บไซต์สำหรับนักพัฒนาแห่งหนึ่งที่ถูกแฮ็กมาก่อน เว็บไซต์แห่งนี้ฝังมัลแวร์ลงบนคอมพิวเตอร์ของพนักงาน ซึ่งส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้ประสงค์ร้าย
อย่างไรก็ตามความเสียหายยังจำกัดแค่เครื่องคอมพิวเตอร์ของพนักงานเท่านั้น ไม่กระทบกับข้อมูลของผู้ใช้แต่อย่างใด
ทีมความปลอดภัยของ Facebook ค้นพบปัญหานี้จาก DNS log ภายในบริษัทที่ส่งข้อมูลไปยังโดเมนที่น่าสงสัย หลังจากการสอบสวนแล้วพบว่าเว็บไซต์ที่ฝังมัลแวร์ลงเครื่องของพนักงาน ใช้ช่องโหว่ที่ยังไม่ค้นพบของ Java ทำให้ลัดขั้นตอนความปลอดภัยของ Java ลงได้
Facebook แจ้งปัญหานี้ไปยังออราเคิลแล้ว และออราเคิลก็แพตช์ช่องโหว่นี้แล้วในการอัพเดตรอบ 1 กุมภาพันธ์ (จากนั้น Facebook ค่อยแถลงข่าวเรื่องช่องโหว่นี้)
ก่อนหน้านี้เราเพิ่งมีข่าว ทวิตเตอร์ประกาศโดนแฮ็ค ผู้ใช้ 250,000 คนอาจโดนขโมยข้อมูลส่วนตัว เนื่องจากช่องโหว่ของ Java เช่นกัน
ที่มา - Facebook Security
ปีที่แล้วออราเคิลประกาศโอเพนซอร์ส JavaFX แต่กระบวนการผ่านไปหลายเดือนก็ยังไม่สมบูรณ์ แต่ระหว่างที่กระบวนการโอเพนซอร์สเดินหน้าไป ทางออราเคิลก็ออกมาประกาศว่าโครงการอีกส่วนหนึ่งที่จะเปิดออกมาคือ JavaFX สำหรับ Android และ iOS
เป็นเรื่องปกติของการโอเพนซอร์สโครงการขนาดใหญ่ที่จะใช้เวลาหลายเดือนจนถึงเวลานับปี เช่น โครงการ Solaris ของซันในยุคก่อนจะโอเพนซอร์สก็ต้องใช้เวลานานเพราะติดโค้ดบางส่วนที่ซื้อจากบริษัทภายนอกมาอีกที
ไลเซนส์ที่ปล่อยมาสำหรับ OpenJFX คือ GPLv2 + Classpath Exception ทำให้สามารถลิงก์ JavaFX ทั้งแบบ static และแบบ dynamic เข้ากับแอพพลิเคชั่นได้โดยไม่ต้องเปิดซอร์สแอพพลิเคชั่นของตัวเองเอง
ที่มา - FX Experience
จากข่าว ออราเคิลออกแพตช์ความปลอดภัย Java รอบเดือนกุมภาพันธ์ 2013 ทางออราเคิลออกมาชี้แจงว่า การอัพเดตแพตช์รอบก่อนรีบออกเพื่อแก้ปัญหาความปลอดภัยเร่งด่วน ทำให้ยังปิดช่องโหว่อื่นๆ ไม่ครบ และจะออกแพตช์รอบใหม่ในวันที่ 19 กุมภาพันธ์นี้
ออราเคิลยังไม่แจ้งว่าช่องโหว่ที่จะแก้ไขในรอบ 19 กุมภาพันธ์มีอะไรบ้าง แต่ก็บอกว่าผู้ใช้หรือหน่วยงานที่ไม่ได้อัพเดตรอบก่อน สามารถรออัพเดตรอบ 19 กุมภาพันธ์ได้ทีเดียวเลยครับ
ที่มา - Oracle
