Tags:
Java

ปัญหาความปลอดภัยของ Java Applet เป็นปัญหาต่อเนื่องในปีที่ผ่านมา ล่าสุดช่องโหว่ถูกปรับแต่งมาใช้เพื่อโจมตีคนไทยโดยเฉพาะ Ask Blognone ตอนนี้ขอเชิญทุกท่านมาช่วยกันให้ข้อมูล ว่ายังมีบริการใดสำหรับคนทั่วไป ไม่ว่าฟรี, เสียเงิน, ต้องสมัครสมาชิก ฯลฯ (ไม่นับบริการภายในองค์กรที่ให้เฉพาะพนักงานใช้งาน) ที่ยังให้ผู้ใช้ต้องติดตั้ง Java เพื่อรัน Java Applet อยู่บ้าง

Tags:
Java

เมื่อวันที่ 12-13 มิถุนายนที่ผ่านมา เว็บไซต์สำนักข่าวในประเทศไทยหลายแห่ง ได้ถูกเจาะระบบเพื่อฝังโทรจันที่โจมตีผ่านช่องโหว่ของ Java

โทรจันตัวนี้จะไปแก้ไขหน้าเว็บไซต์ของธนาคารออนไลน์ในประเทศไทย ให้แสดงลิงก์สำหรับใส่เบอร์มือถือเพื่อรับ SMS ดาวน์โหลดโปรแกรม AVG AntiVirus Mobile Pro สำหรับติดตั้งใน Android โดยโปรแกรมดังกล่าวเป็นโปรแกรมแอนตี้ไวรัสปลอม จุดประสงค์เพื่อขโมย SMS OTP จากธนาคาร

สำหรับข้อมูลเพิ่มเติมของโทรจัน รวมถึงวิธีการตรวจสอบและแก้ไข สามารถอ่านได้จากที่มาครับ

ที่มา: ThaiCERT

Tags:
Java

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

  • แยกรุ่นของ JRE เป็น Server JRE โดยไม่มี Java Plug-in ที่เป็นปัญหาโดนเจาะมาตลอด เพื่อให้ปัญหาช่องโหว่ไม่กระทบงานด้านเซิร์ฟเวอร์ (เริ่มใช้ตั้งแต่ Java 7u21 เป็นต้นไป)
  • แยกกระบวนการออกแพตช์ความปลอดภัยเป็น 2 ประเภท คือ Critical Patch Update รุ่นมาตรฐานออกปีละ 4 ครั้งตามรอบซอฟต์แวร์ตัวอื่นของบริษัท และ Security Alert สำหรับแก้ปัญหาเฉพาะหน้าเป็นจุดๆ ไปเมื่อค้นพบช่องโหว่สำคัญ
  • เปลี่ยนเงื่อนไขการรัน Java applet โดย applet ที่ถูก sign จะไม่จำเป็นต้องได้สิทธิรันนอก sandbox อัตโนมัติเหมือนก่อน และตัวปลั๊กอินจะตั้งค่าห้ามไม่ให้รัน applet ที่ไม่ถูก sign ตามกระบวนการของออราเคิลแล้ว
  • ในอนาคต Java applet ที่ไม่ได้ sign ตามกระบวนการที่ถูกต้อง จะรันไม่ได้เลย
  • จากปัญหา Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว ออราเคิลจะปรับปรุงวิธีการตรวจสอบใบรับรองดิจิทัลใหม่ในอนาคต แต่ในระยะสั้นจะปิดฟีเจอร์ด้านการตรวจสอบนี้ทิ้งไปก่อนด้วยเหตุผลด้านประสิทธิภาพ

ที่มา - The Oracle Software Security Assurance Blog

Tags:
Java

Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)

เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม

ฟีเจอร์ใหม่ของ Java 8 คือ Project Lambda ที่ถูกเลื่อนมาจาก Java 7 โดยจะเป็นการเพิ่มฟีเจอร์ด้าน closure ให้ตัวภาษา Java เพื่อช่วยให้การทำงานแบบมัลติคอร์ดีขึ้น ทีมงานตัดสินใจเลื่อนกำหนดการของ Java 8 ออกไปแทนการตัด Lambda ทิ้งแล้วออกตามกำหนดเดิม เพื่อให้โลกของ Java ได้ใช้ฟีเจอร์ Lambda ไม่ช้าเกินไปนัก

ส่วน Java 9 ก็โดนผลกระทบให้เลื่อนออกไปด้วย คาดว่าจะเป็นต้นปี 2016 ครับ

ที่มา - Mark Reinhold via Phoronix

Tags:
Java

ออราเคิลออก Java 7u21 และ Java 6u45 บนแพลตฟอร์มอื่นๆ ไปแล้ว ทางฝั่งแอปเปิลที่ออก Java 6 เวอร์ชันของตัวเองบน OS X ก็อัพเดตตามเรียบร้อย (สำหรับผู้ที่ใช้ Java 7 ต้องอัพผ่านระบบของออราเคิลกันเองเหมือนระบบปฏิบัติการอื่นๆ)

อัพเดตของแอปเปิลตัวนี้ใช้ชื่อว่า Java for OS X 2013-003 (สำหรับ Lion ขึ้นไป) หรือ Java for Mac OS X 10.6 Update 15 (สำหรับ Snow Leopard) ผู้ใช้แมคที่ยังใช้ Java 6 ก็อัพเดตกันได้ผ่าน Software Update เพื่อความปลอดภัยครับ

ในโอกาสเดียวกัน แอปเปิลยังออก Safari 6.0.4 (Lion ขึ้นไป) และ Safari 5.1.9 (Snow Leopard) ซึ่งเพิ่มตัวเลือกการปิด Java เป็นรายเว็บไซต์ด้วย

ที่มา - The Mac Security Blog

Tags:
Java

ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

Hasan Rizvi ผู้บริหารของออราเคิลยอมรับว่าแพตช์ชุดนี้ยังแก้ปัญหาได้ไม่หมด แต่ก็ครอบคลุมช่องโหว่ที่เคยมีประวัติการถูกโจมตีหมดแล้ว เขายังยอมรับว่าลูกค้าองค์กรแสดงความห่วงใยต่อปัญหาความปลอดภัยของ Java และอาจส่งผลต่อการเลิกใช้ Java ขององค์กรเหล่านี้ได้

จากข้อมูลของบริษัท Kaspersky ระบุว่าในปีที่แล้ว Java ขึ้นเป็นอันดับหนึ่งของโปรแกรมที่โดนเจาะมากที่สุด คิดเป็นสัดส่วนถึง 50% ของการเจาะระบบทั้งหมด ส่วนอันดับสองคือ Adobe Reader 28% ในขณะที่ Windows/IE มีสัดส่วนการโดนเจาะแค่ 3% เท่านั้น

ใครที่ยังจำเป็นต้องติดตั้ง Java ในเครื่องก็ควรรีบอัพเดตกันโดยด่วนครับ

ที่มา - Oracle, Ars Technica, Krebs on Security, Reuters

Tags:
C

ดัชนีวัดความนิยมของภาษาโปรแกรม TIOBE เผยสถิติเดือนเมษายน ภาษา Objective-C ร่วงลงสู่อันดับ 4 เป็นครั้งแรกที่ตำแหน่งลดลง (ก่อนหน้านี้อันดับพุ่งขึ้นเรื่อยๆ จนมาหยุดที่อันดับ 3) โดน C++ แซงกลับสู่ตำแหน่งเดิมอีกครั้ง

Paul Jansen กรรมการผู้จัดการของ TIOBE กล่าวว่า "หากมองในระยะยาว Objective-C ยังถือว่าโตขึ้น แต่ในระยะสั้นนั้นไม่ค่อยดีเท่าไหร่นัก เหตุผลหลักน่าจะมาจาก iPhone และ iPad ได้รับความนิยมลดลง การที่ Samsung ขึ้นมาเป็นผู้นำตลาดโมบายอาจทำให้ Java ใน Android มีอันดับความนิยมเพิ่มขึ้นในอนาคตอันใกล้ ส่วน Java กับ C นั้นเปอร์เซ็นต์ความนิยมเริ่มขยับมาใกล้กัน (C - 17.862%, Java - 17.681%) อาจจะมีการสลับตำแหน่งกันในเดือนหน้า"

การจัดตำแหน่งของ TIOBE นั้น สำรวจจากจำนวนผู้ใช้ คอร์ส และ third-party โดยใช้ search engine ที่ได้รับความนิยมต่างๆ ในการสำรวจ

ที่มา: infoworld, TIOBE

Tags:
Eclipse

หลาย ๆ คนคงจำภาษา Xtend กันไม่ได้ ภาษา Xtend เป็นหนึ่งในโครงการของมูลนิธิ Eclipse โดยมีเป้าหมายให้ Java ดูน่าใช้งานมากขึ้น โดยมีลักษณะเด่นอยู่ที่ตัวโค๊ดจะถูกแปลให้อยู่ในรูปของโค๊ดภาษา Java ก่อนที่จะถูกแปลให้เป็น Java bytecode อีกทีหนึ่ง ซึ่งต่างกับภาษาอื่น ๆ ที่ทำงานบน Java VM เหมือนกันอย่างเช่น Scala หรือ JRuby ที่จะแปลโค๊ดไปเป็น Java bytecode โดยตรง

สำหรับในเวอร์ชั่น 2.4 นั้น ฟีเจอร์สำคัญที่เพิ่มเข้ามาก็คือการรองรับการดีบั๊กโปรแกรมของแอนดรอยด์ เดิมที Xtend สามารถนำไปเขียนแอพลิเคชั่นของแอนดรอยด์ได้อยู่แล้ว แต่การดีบั๊กโค๊ดจะทำผ่าน JSR-45 ซึ่ง Dalvik VM นั้นไม่รองรับ ในเวอร์ชั่น 2.4 นี้จะเพิ่มการรองรับการดีบั๊กโปรแกรมที่ทำงานบน Dalvik VM เข้าไป ทำให้เราสามารถดีบั๊กโปรแกรมของแอนดรอยด์ได้ครับ

นอกจากนี้ยังมีการปรับปรุงในส่วนของตัวภาษาเอง และการปรับปรุงตัว IDE ในอีกหลายจุด รวมทั้งการแก้บั๊กอีกกว่า 300 รายการ รายละเอียดสามารถอ่านได้ใน Release Notes

ที่มา : Xtend

Tags:
Java

ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)

ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว

แต่ล่าสุดมีคนพบว่าแอพเพล็ตที่ถูก sign ด้วยใบรับรองดิจิทัลจากบริษัทที่มีตัวตนจริงแห่งหนึ่ง กลับเป็นมัลแวร์ที่ปลอมตัวมาด้วยใบรับรองที่ถูกขโมยไป ทำให้มัลแวร์ตัวนี้สามารถทำงานได้ทันทีถ้าหากผู้ใช้เข้าเว็บไซต์ที่ฝังแอพเพล็ตเอาไว้ โดย Java จะไม่ขึ้นคำเตือนใดๆ เพราะถือว่าเป็นแอพเพล็ตที่เชื่อถือได้

จากการสอบสวนพบว่าใบรับรองดิจิทัลฉบับนี้รับทราบกันทั่วไปว่าถูกขโมย และถูกเพิกถอน (revoke) โดยผู้ออกใบอนุญาตอย่าง GoDaddy ไปตั้งแต่เดือนธันวาคม 2012 แต่ค่าดีฟอลต์ของ Java SE ไม่เปิดใช้งานฟีเจอร์ที่คอยเช็คดูว่าใบอนุญาตถูกเพิกถอนไปหรือไม่ (check certificates for revocation) กลายเป็นช่องโหว่ง่ายๆ ให้แฮ็กเกอร์สามารถใช้ประโยชน์ได้นั่นเอง

ที่มา - Eric Romang via Infoworld

Tags:
Red Hat

Red Hat ประกาศรับช่วงบทบาทการเป็นผู้นำโครงการ OpenJDK 6 ต่อจากออราเคิล หลังจากออราเคิลหยุดสนับสนุน Java 6 อย่างเป็นทางการเมื่อช่วงสิ้นเดือนกุมภาพันธ์ที่ผ่านมา

Red Hat อธิบายว่าหน่วยงานจำนวนมากยังใช้ Java 6 อยู่ (โดยเฉพาะลูกค้า JBoss ของบริษัทเอง) และต้องการสนับสนุน Java 6 ต่อไปผ่านโครงการ OpenJDK ที่เป็นโอเพนซอร์ส (Red Hat มีส่วนกับ OpenJDK มานานแล้ว แต่ไม่ได้เป็นผู้นำโครงการ)

ที่มา - Red Hat

Tags:
Java

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว

เช่นเดียวกับข่าว Java ข่าวก่อนๆ นั่นคือผู้ใช้ควรอัพเดตเวอร์ชันล่าสุดทันที หรือปิดการทำงานของ Java บนเบราว์เซอร์ถ้าไม่จำเป็นต้องใช้งาน

ที่มา - Oracle, The Next Web

Tags:
Java

Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)

ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้

Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด

ทางทีมของ Gowdiak ยืนยันว่าเป็นช่องโหว่อย่างแน่นอน และถ้าออราเคิลยังยืนยันแบบเดิมอยู่ เขาก็จะเปิดเผยข้อมูลของช่องโหว่ต่อสาธารณะต่อไป

ที่มา - SecLits via ZDNet

Tags:
Java

เดิมที Java มักถูกวิจารณ์ในแง่ของแนวทางในการพัฒนาซอฟต์แวร์ที่มีความซับซ้อน และซอฟต์แวร์ที่ได้ใช้ทรัพยากรระบบมาก แต่ก็ยังเป็นแพลตฟอร์มได้รับความนิยมเนื่องเพราะ จำนวน ความหลากหลาย และขีดความสามารถของไลบรารี จำนวนผู้ใช้งาน ความปลอดภัย ค่าใช้จ่าย (ฟรี) ฯลฯ แต่หลังจากที่ Oracle ได้ซื้อ Java ไปจาก Sun ข่าวไม่ดีต่าง ๆ ได้ออกมาจำนวนมาก ไม่ว่าจะเป็นเรื่องความปลอดภัย (เฟซบุ๊ก, ทวิตเตอร์, แอปเปิล, ไมโครซอฟท์) การฟ้องร้อง และเตือนหรือห้ามไม่ใช้งาน Java ที่สำคัญท่าทีของ Oracle ที่มีต่อเรื่องราวทั้งหมดไม่น่าประทับใจเท่าไร (มีเรื่องหนึ่งที่ผมอ่านแล้วค่อนข้างตกใจคือ "ไม่จ่ายเรา เราไม่แก้บั๊กให้") การจะไปหวังพึ่งพาระบบเปิดจาก OpenJDK ก็พบกับปัจจัยเสี่ยงที่โครงการจะโดน Oracle ฟ้องในภายหลัง กล่าวโดยสรุปคือ Java กำลังจะกลายเป็นแพลตฟอร์มที่ไม่น่าใช้มากขึ้นเรื่อย ๆ

คำถามที่จะเกิดขึ้นคือ "แล้วเราจะใช้อะไรแทน Java?"

Tags:
Microsoft

ไมโครซอฟท์ออกแถลงยืนยันว่าบริษัทเป็นเหยื่อของการแฮ็กผ่านช่องโหว่เดียวกับเฟซบุ๊กและแอปเปิล โดยคอมพิวเตอร์จำนวนหนึ่งรวมถึงคอมพิวเตอร์ในส่วนธุรกิจแมคติดมัลแวร์ที่อาศัยช่องโหว่ของ Java sandbox เช่นเดียวกับรายอื่นๆ

ไมโครซอฟท์กำลังตรวจสอบความเสียหาย แต่ระหว่างนี้ยังไม่มีหลักฐานใดๆ แสดงว่ามีข้อมูลลูกค้าหลุดออกไปกับมัลแวร์นี้

ที่มา - TechNet

Tags:
Java

ไมโครซอฟท์, EMC, และ NetApp แถลงในฐานะผู้เชี่ยวชาญที่ไม่มีส่วนได้ส่วนเสียกับคดี (amici curiae) ในคดีลิขสิทธิ์ API จาวาระหว่างออราเคิลกับกูเกิล แสดงการสนับสนุนให้ศาลอุทธรณ์กลับคำพิพากษาศาลชั้นต้น

ตัวเอกสารยื่นเข้าสู่ศาลแล้วแต่ยังไม่ได้เปิดเผยออกมาสู่สาธารณะ (คาดว่าทางศาลจะเปิดเผยออกมาเร็วๆ นี้) แต่ The Register ได้สำเนาออกมาระบุว่าเนื้อหาวิจารณ์คำพิพากษาศาลชั้นต้นว่าเป็นผลของการตีความกฎหมายลิขสิทธิ์ผิดพลาดอย่างมีนัยสำคัญหลายจุด และหากศาลอุทธรณ์ยังยืนยันคำตัดสินเช่นเดิม จะมีผลอันตรายต่อความคาดหวังที่รับรู้โดยทั่วไปในอุตสาหกรรมซอฟต์แวร์

ไมโครซอฟท์นั้นชัดเจนว่ายืนร่วมออราเคิลในคดีนี้เพราะเป็นผู้ถือลิขสิทธิ์ใน API จำนวนมาก เช่น เทคโนโลยี .NET ที่แม้จะเปิดตัว "ภาษา" อย่าง C# ออกมาเป็นเทคโนโลยีเปิด แต่ตัว API พื้นฐานนั้นยังมีข้อจำกัดจากไมโครซอฟท์หลายจุด หากแนวทางพิพากษาว่า API ไม่มีลิขสิทธิ์ยังคงถูกยืนยันจากศาลไปเช่นนี้ ในอนาคตก็อาจจะมีหน่วยงานต่างๆ รวมถึงบริษัทคู่แข่งเข้ามาทำซอฟต์แวร์ที่มี API เหมือนกันอีกจำนวนมาก

ที่มา - The Register

Tags:
App Engine

Java 6 จะหมดระยะสนับสนุนสิ้นเดือนกุมภาพันธ์นี้ (ประกาศของออราเคิล) แต่ยังมีหน่วยงานอีกมากที่ยังอยู่กับ Java 6 และยังไม่ยอมอัพเกรดไปยัง Java 7

หนึ่งในองค์กรที่ยังใช้ Java 6 คือกูเกิล ซึ่งก็เริ่มขยับตัวบ้างแล้ว เมื่อสัปดาห์ก่อนกูเกิลออก App Engine 1.7.5 ที่ของใหม่คือการรองรับ Java 7 เป็นฟีเจอร์ทดสอบ (experimental) แล้ว

ฟีเจอร์อย่างอื่นได้แก่ รองรับ Google Cloud Endpoints สำหรับสร้างจุดเชื่อมต่อระหว่างแอพมือถือกับเอนจินที่สร้างบนกลุ่มเมฆ, รองรับเครื่องเสมือนแบบ High-Memory Instances และการแจ้งเตือน Mail Bounce Notifications

นอกจากนี้กูเกิลยังอัพเดต Google Plugin for Eclipse ให้เป็นรุ่นใหม่ล่าสุดเพื่อรองรับฟีเจอร์ใหม่ๆ เหล่านี้ด้วย

ที่มา - Google App Engine Blog

Tags:
Java

ต่อจากข่าว แอปเปิลโดนแฮ็กจากช่องโหว่ Java ล่าสุดแอปเปิลออกอัพเดต Java สำหรับผู้ใช้ Mac OS X แล้ว

อัพเดตตัวนี้ใช้เลขรุ่นว่า Java for OS X 2013-001 โดยเทียบเท่ากับ Java SE 6 (1.6.0_41) ของออราเคิล

นอกจากแก้ปัญหาความปลอดภัยแล้ว อัพเดตตัวนี้ยังสั่งปิดการทำงานของปลั๊กอิน Java SE 6 (ซึ่งตกรุ่นแล้ว) ภายในเว็บเบราว์เซอร์ คนที่ต้องการใช้งาน Java บนเบราว์เซอร์จำเป็นต้องดาวน์โหลด Java SE 7 จากออราเคิลมาติดตั้งเอง

ที่มา - Apple Support, 9to5mac

Tags:
Apple

ไม่กี่วันก่อนมีข่าวออกมาว่าเฟซบุ๊กโดนแฮ็กผ่านทางแล็ปท็อปของพนักงาน

วันนี้แอปเปิลก็ได้ออกมาประกาศว่าโดนแฮ็กจากแฮ็กเกอร์กลุ่มเดียวกันเช่นกัน โดยคอมพิวเตอร์แมคจำนวนหนึ่งของพนักงานได้ถูกแฮ็กผ่านทางช่องโหว่ความปลอดภัยของจาวาในลักษณะเดียวกันกับที่พนักงานของเฟซบุ๊กโดน กล่าวคือผ่านทางการเข้าชมเว็บไซต์สำหรับนักพัฒนาเว็บหนึ่งที่ถูกแฮ็กมาก่อน ทั้งนี้แอปเปิลยืนยันว่าไม่มีหลักฐานใดๆ บ่งชี้ว่ามีข้อมูลภายในหลุดออกมา

แอปเปิลยังเผยเพิ่มเติมว่าเตรียมออกอัพเดทสำหรับป้องกันผู้ใช้จากช่องโหว่ดังกล่าวเร็วๆ นี้และกำลังร่วมมือกับเจ้าหน้าที่ของทางการเพื่อตามหาต้นตอของการมัลแวร์นี้

แอปเปิลเป็นองค์กรล่าสุดที่ออกมาประกาศว่าโดนโจมตี หลังจากที่ก่อนหน้านี้ การโจมตีได้เกิดกับ เฟซบุ๊ก ทวิตเตอร์ หนังสือพิมพ์วอลล์สตรีทเจอร์นัล หนังสือพิมพ์เดอะนิวยอร์กไทมส์ ไปแล้ว

Tags:
Oracle

ออราเคิลยื่นเอกสารอุทธรณ์ฉบับเต็มที่ประกาศไว้ตั้งแต่เดือนพฤศจิกายนที่ผ่านมา คัดค้านคำตัดสินของศาลชั้นต้นที่ระบุว่า API ไม่มีลิขสิทธิ์ ตรงกับแนวทางก่อนหน้านี้ที่การอุทธรณ์จะเน้นหนักไปที่ API เพราะสิทธิบัตรในส่วนของ JVM หลายตัวนั้นกำลังจะหมดอายุแล้ว

ส่วนที่เป็นข่าวที่สุด คงเป็นส่วนคำอุปมาอุปมัยระหว่าง API ของจาวากับนิยายเรื่องแฮร์รี พอตเตอร์ ว่า

แอน ดรอยด์ ต้องการตีพิมพ์หนังสือขายดี เธอก็อปปี้หนังสือเรื่อง "แฮร์รี พอตเตอร์และภาคีนกฟีนิกซ์" เธอก๊อปปี้ชื่อบททั้งหมด เธอก๊อปปี้ประโยคแรกของแต่ละย่อหน้า แล้วเขียนส่วนที่เหลือขึ้นใหม่ เธอรีบวางตลาดหนังสือของเธอวางตลาดก่อนผู้เขียนคนแรกโดยใช้ชื่อหนังสือว่า "แฮรี่ พอตเตอร์ภาค 5 โดยแอน ดรอยด์"

เจ เค โรว์ลิง ฟ้องเพื่อปกป้องลิขสิทธิ์ แต่แอน ดรอยด์ระบุว่าเธอเขียนหนังสือขึ้นใหม่เกือบทั้งหมด และการวางโครงเรื่องให้คล้ายกันเป็นการใช้งานอย่างเป็นธรรม

Tags:
Java

ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน

บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก