จากข่าว พบช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ล่าสุดมีผู้สร้างเบราว์เซอร์ 2 รายสั่งปิดการทำงานของปลั๊กอิน Java เพื่อป้องกันผู้ใช้จากการโจมตีแล้ว
US-CERT หน่วยงานด้านความปลอดภัยของรัฐบาลสหรัฐ แจ้งเตือนช่องโหว่ระดับ critical ที่ค้นพบใหม่บน Java 7 Update 10 หรือรุ่นที่เก่ากว่า ช่องโหว่นี้ช่วยให้แฮ็กเกอร์เข้ามารันโค้ดประสงค์ร้ายบนเครื่องของผู้ใช้ได้
ปัญหานี้เกิดกับปลั๊กอิน JRE โดยเป็นช่องโหว่ของระบบ Security Manager ของ JRE เอง ตอนนี้ออราเคิลยังไม่ออกแพตช์แก้ไข วิธีป้องกันตัวมีเพียงปิดการใช้งาน Java บนเว็บเบราว์เซอร์ไปก่อนชั่วคราว
ผู้เชี่ยวชาญความปลอดภัย Kaspersky Labs ให้ข้อมูลเพิ่มเติมว่าตอนนี้เริ่มพบมัลแวร์ที่ใช้ช่องโหว่นี้ อยู่บนเว็บไซต์หลายแห่งแล้ว
บริษัทความปลอดภัย Trend Micro ออกมาเตือนมัลแวร์ BKDR_JAVAWAR.JG ซึ่งสร้างขึ้นมาเพื่อโจมตีเซิร์ฟเวอร์สาย Java (ทั้งกลุ่มที่เป็น Java Servlet อย่าง Tomcat และกลุ่มที่เป็น Java HTTP)
การทำงานของมัลแวร์ตัวนี้คือเจาะเข้าไปยัง Tomcat Web Application Manager โดยใช้วิธีเดารหัสผ่าน แล้วฝังไฟล์ web application archive (WAR) เพื่อเป็น backdoor ของระบบ จากนั้นไฟล์ JSP ของเซิร์ฟเวอร์นี้จะถูกฝัง backdoor ให้ผู้ประสงค์ร้ายเข้ามาควบคุมเครื่องได้
มัลแวร์ตัวนี้ทำงานบนเซิร์ฟเวอร์ Java สายวินโดวส์ ซึ่งก็นับตั้งแต่ Windows 2000 มาจนถึง Windows 7 ทางแก้คือผู้ดูแลระบบต้องตั้งรหัสผ่านที่เข้มแข็ง และหมั่นอัพเดตแพตช์อยู่เสมอครับ
เว็บไซต์ FOSS Patents อ่านเอกสารยื่นอุทธรณ์ของออราเคิลในคดี Java กับกูเกิล (ซึ่งยื่นเมื่อเดือนธันวาคม) พบว่าออราเคิลตัดสินใจไม่อุทธรณ์คดีส่วนสิทธิบัตร และอุทธรณ์เฉพาะคดีเรื่องลิขสิทธิ์ของ Java API เท่านั้น
FOSSPatents ประเมินว่าออราเคิลคงต้องการโฟกัสไปที่ประเด็นเรื่อง Java API เป็นหลัก, สิทธิบัตรบางชิ้นกำลังจะหมดอายุ และสิทธิบัตรบางชิ้นอาจเรียกค่าเสียหายได้ไม่มากนัก เลยตัดสินใจทิ้งประเด็นเรื่องสิทธิบัตรไป
กระบวนการของคดีนี้ยังต้องใช้เวลาอีกนาน ถ้ากำหนดการเป็นไปตามที่วางแผนกันไว้ กว่าที่ทั้งสองฝ่ายจะแถลงตอบโต้กันครบ (ฝ่ายละ 2 รอบ) ก็ช่วงกลางเดือนกรกฎาคม 2013 ครับ
จาวาสริปต์เป็นภาษาสคริปต์ของ Netscape ที่พัฒนาขึ้นเพื่อใช้บนเว็บกับ Netscape 2.0 มาตั้งแต่ปี 1995 โดยยืมชื่อ "จาวา" มาจากซันโดยไม่มีความเกี่ยวเนื่องอะไรกัน แต่ความนิยมของจาวาสคริปต์ที่สูงขึ้นเรื่อยๆ จนกระทั่งเริ่มบุกตลาดเซิร์ฟเวอร์ด้วย node.js ตอนนี้ทางออราเคิลก็เปิดโครงการ Nashorn เป็นส่วนหนึ่งของ OpenJDK เพื่อนำจาวาสคริปต์มารันบน JVM แล้ว
โครงการนี้กำลังถูกพัฒนาเป็นการภายในออราเคิลเอง และกำลังเตรียมการโยกย้ายออกมาสู่สาธารณะภายใต้โครงการ OpenJDK จากข้อเสนอของออราเคิล
สมาชิกของ OpenJDK สามารถโหวตเพื่อรับหรือไม่รับโครงการนี้ได้ภายในวันที่ 6 ธันวาคมที่จะถึงนี้
Mozilla ออกประกาศว่าจะบล็อคการทำงานของปลั๊กอิน Java 7 update 7 ลงไป ด้วยเหตุผลว่า Java 7u7 มีช่องโหว่ด้านความปลอดภัยร้ายแรง
ผู้ใช้ยังสามารถสั่งเปิดการทำงานของ Java 7u7 บน Firefox ได้เองในหน้าตั้งค่าปลั๊กอิน แต่ตอนนี้ Oracle ออกอัพเดต Java 7 update 9 ที่แก้ปัญหานี้มาแล้ว ทางออกที่ถูกต้องคืออัพเดตปลั๊กอินเป็นเวอร์ชันล่าสุด
ช่วงหลังๆ มานี้ Java มีปัญหาเรื่องความปลอดภัยเยอะ และเว็บไซต์ที่จำเป็นต้องใช้งาน Java ก็ลดจำนวนลงเรื่อยๆ ดังนั้นใครที่ไม่จำเป็นต้องใช้ Java บนเว็บจริงๆ ก็ควรปิดการทำงานโดยถาวรไปเลย
ที่มา - Mozilla
แม้ ARMv8 หรือ AArch64 ที่เป็น ARM สถาปัตยกรรม 64 บิตจะยังไม่วางตลาดเลยก็ตาม แต่ฝั่งซอฟต์แวร์ก็เริ่มเตรียมความพร้อมกันแล้ว สิ่งหนึ่งที่ขาดไม่ได้บนเซิร์ฟเวอร์คงเป็นจาวาที่แอพพลิเคชั่นระดับองค์กรจำนวนมากใช้งานกันอยู่ ปัญหาของจาวาบน ARM ทุกวันนี้ (รุ่น 32 บิต) คือมันมี JIT compiler รุ่นเล็กและง่ายสำหรับ OpenJDK ที่โอเพนซอร์สและใช้งานได้ฟรี กับรุ่นเฉพาะจากออราเคิลที่ทำงานได้มีประสิทธิภาพดีกว่า และตอนนี้ทาง RedHat เริ่มเข้ามาพัฒนา JIT compiler บน ARMv8 โดยเฉพาะ โดยหวังให้มันมีประสิทธิภาพที่ดีและโอเพนซอร์สไปพร้อมกัน
แพตซ์ความปลอดภัยของจาวานั้นมีรอบการปล่อยปีละสามรอบ แม้ก่อนหน้านี้จะมีกรณียกเว้นที่ออราเคิลยอมปล่อยแพตซ์พิเศษในเดือนกันยายน แต่ก็ยังเหลือบั๊กมาถึงรอบปกติเดือนตุลาคม ข่าวร้ายคือแม้จะปล่อยแพตซ์ตามรอบออกมา ปัญหาก็ยังไม่หมด ทำให้บั๊กที่เหลือต้องรอรอบเดือนกุมภาพันธ์ปีหน้า
บั๊กที่ยังแก้ไม่หมดนี้เพิ่งพบในช่วงปลายเดือนกันยายนที่ผ่านมา โดยบริษัท Security Explorations ที่ออกมารายงานบั๊กรอบที่แล้ว โดยกระทบตั้งแต่ Java 5 ถึง Java 7 รวมผู้ใช้ที่ได้รับผลกระทบประมาณพันล้านคน
หลังจากที่พบช่องโหว่มากมายหลายรอบบนทุกแพลตฟอร์ม ล่าสุดแอปเปิลได้ปล่อยอัพเดตให้แก่ OS X เพื่อถอดเอาปลั๊กอินจาวาออก มีผลทำให้เว็บเบราว์เซอร์ทุกตัวบน OS X จะไม่สามารถใช้งานจาวาได้ นอกเสียจากไปดาวน์โหลดจากปลั๊กอินตัวนี้จาก Oracle โดยตรง
ก่อนหน้านี้บริษัทรักษาความปลอดภัยคอมพิวเตอร์หลายรายได้ออกมาแนะนำให้ผู้ใช้ทั่วไปลบจาวาทิ้ง แต่หลังจากนั้น Oracle ก็ได้ปล่อยอัพเดตเพื่อแก้ไขปัญหาที่พบในช่วงนั้นเรียบร้อยแล้ว แต่ไม่นาน ก็พบกับช่องโหว่ใหม่ซึ่ง ณ เวลานี้ยังไม่ได้รับการแก้ไข
ออราเคิลส่งหนังสือแจ้งศาลเขตแคลิฟอร์เนียเหนือ ว่าบริษัทเตรียมยื่นอุทธรณ์ต่อคดีลิขสิทธิ์ Java API ที่ผู้พิพากษา William Alsup ตัดสินในศาลชั้นต้นว่า API ไม่มีลิขสิทธิ์ เมื่อเดือนมิถุนายน 2012
คดีนี้ออราเคิลฟ้องกูเกิลด้วย 2 ข้อหาคือ ลิขสิทธิ์ และสิทธิบัตร ซึ่งในส่วนของสิทธิบัตรนั้น คณะลูกขุนก็ตัดสินว่ากูเกิลไม่ละเมิดสิทธิบัตรของออราเคิลด้วยเช่นกัน
ที่มา - CNET
ที่งาน JavaOne 2012 ซึ่งจัดขนานไปกับงาน Oracle OpenWorld ทางออราเคิลก็ออกมายืนยันแผนการออก Java รุ่นใหม่ๆ ดังนี้ครับ
Java SE 8
ออกช่วงปลายปี 2013 ตามที่เคยส่งสัญญาณมาก่อนแล้วว่าล่าช้า และถอดโมดูล Project Jigsaw ไปใส่ไว้ใน Java 9 แทน
ออราเคิลยังเดินหน้ารวม JVM สองตัวคือ HotSpot (ของซันเดิม) กับ JRockit (ของ BEA เดิม) เข้าด้วยกัน จะให้เสร็จใน JDK 8
Java ME 8
ออกปลายปี 2013 เช่นกัน นอกจากนี้ยังมีข่าวของ Java ME Embedded 3.2 ตามที่ประกาศออกมาก่อนงานแล้ว
JavaFX 8
ออราเคิลประกาศ Java Micro Edition (Java ME) รุ่นสำหรับอุปกรณ์ฝังตัว 2 รุ่นย่อย
ในโอกาสเดียวกันนี้ ออราเคิลยังออก Java ME SDK 3.2 สำหรับพัฒนาซอฟต์แวร์ 2 ตัวข้างต้น โดยมีปลั๊กอิน Java ME SDK สำหรับ Eclipse เพิ่มมาด้วย จากเดิมที่มีแค่ NetBeans
บริษัทความปลอดภัย Security Explorations ค้นพบช่องโหว่ใหม่ของ Java SE โดยรอบนี้ครอบคลุมกว้างตั้งแต่ Java 5-6-7 บนทุกระบบปฏิบัติการ ไม่ว่าจะเป็นวินโดวส์ แมค ลินุกซ์ หรือแม้กระทั่งโซลาริส
นักวิจัยของ Security Explorations ทดสอบช่องโหว่นี้บน Windows 7 แบบ 32 บิตลงแพตช์ล่าสุด ติดตั้ง Java 6u35 และ Java 7u7 รุ่นล่าสุด ผู้ทดสอบสามารถเจาะเข้ามายังช่องโหว่นี้ และรันแอพเพล็ตอันตรายเพื่อขโมยหรือลบข้อมูลของผู้ใช้ได้ (ทาง Security Explorations ไม่เปิดเผยรายละเอียดของช่องโหว่ตัวนี้)
ทาง Security Explorations แนะนำให้ปิดการใช้งาน Java Plugin โดยทันที และอาจต้องรอถึงวันที่ 16 ตุลาคม ซึ่งเป็นรอบการอัพเดตช่องโหว่ Java ครั้งต่อไป
ทางออราเคิลยังไม่มีท่าทีใดๆ ต่อข่าวนี้ครับ
ความคิดที่จะทำให้การเขียนจาวาสามารถสร้างแอพพลิเคชั่นบนอุปกรณ์พกพาไม่ได้มีเพียงกูเกิลเท่านั้น บริษัท Codename One ได้ออกปลั๊กอินสำหรับ IDE ยอดนิยมของจาวาคือ Eclipse และ NetBeans โดยปลั๊กอินตัวนี้จะส่งโค้ดจาวาที่ถูกคอมไพล์แล้วขึ้นไปบน cloud server เพื่อแปลงกลับมาเป็นซอร์สโค้ดสำหรับแต่ละอุปกรณ์
Chen Fishbein และ Shai Almog ก่อตั้ง Codename One ในปี 2012 โดย Fishbein เป็นผู้สร้าง Lightweight User Interface Toolkit (LWUIT) และ Sprint Wireless Toolkit ซึ่งเป็นเครื่องมือสำหรับ Java ME
กูเกิลออกเครื่องมือแปลงโค้ดชื่อ J2ObjC หน้าที่ของมันก็ตามชื่อคือแปลงโค้ดภาษา Java เป็น Objective-C
เครื่องมือตัวนี้จะช่วยให้เราเขียนแอพบน iOS ด้วยภาษา Java ได้ เป้าหมายของกูเกิลคือต้องการให้นักพัฒนาแอพสามารถพัฒนาโค้ดพื้นฐานด้วยภาษา Java เพียงชุดเดียว ส่วนตัว GUI ก็เลือกได้ว่าจะใช้อะไรเขียนตามแพลตฟอร์มที่ต้องการ (เช่น Android/Java, iOS/Objective-C, Web/GWT)
J2ObjC จะแปลงคลาสของ Java เป็นคลาสของ Objective-C โดยอิงกับ iOS Foundation Framework เป็นหลัก รองรับตัวภาษา Java 6 เต็มรูปแบบ และสามารถแปลงโค้ดส่วนของ JUnit ได้ด้วย ใครสนใจเขียนแอพมือถือแบบ (เกือบ) ข้ามแพลตฟอร์ม ก็ไปดาวน์โหลดมาทดสอบกันได้
คดีสิทธิบัตรจาวามูลค่า 6 พันล้านดอลลาร์ของออราเคิลกลายเป็นค่าใช้จ่ายของออราเคิลเองเมื่อมาถึงช่วงเคลียร์ค่าใช้จ่ายในคดี โดยกูเกิลเรียกค่าใช้จ่ายในคดีเป็นเงิน 4.03 ล้านดอลลาร์ แต่ผู้พิพากษาตัดสินให้ออราเคิลจ่ายให้กูเกิล 1.13 ล้านดอลลาร์
ผู้พิพากษา Alsup ให้เหตุผลที่ออราเคิลต้องรับผิดชอบต่อค่าใช้จ่ายของกูเกิลว่าออราเคิลตั้งค่าเสียหายเริ่มต้นไว้ไกลจากความเป็นจริงเกินไป แม้จะชนะคดีในส่วนของลิขสิทธิ์ (ซึ่งออราเคิลไม่เรียกค่าเสียหาย) แต่ความเสียหายเหล่านั้นก็ไม่ใช่ความเสียหายที่ออราเคิลเรียกร้องเป็นหลักแต่แรก ทำให้สุดท้ายออราเคิลต้องเป็นผู้รับผิดชอบค่าใช้จ่ายในคดีนี้
ปัญหาช่องโหว่ของ Java กลายมาเป็นภัยคุกคามต่อผู้ใช้เข้าจริงๆ แล้ว โดยบริษัทความปลอดภัยหลายแห่งตรวจพบว่ามีการปลอมอีเมลจากไมโครซอฟท์ (ซึ่งไมโครซอฟท์เพิ่งส่งอีเมลปรับนโยบายการใช้งานออกมาจริงๆ หลายคนแถวนี้คงได้รับ) แต่เปลี่ยนลิงก์เป็นเว็บไซต์ประสงค์ร้ายแทน
ปีนี้อาจไม่ใช่ปีที่ดีของ Java และออราเคิลเท่าไรนัก นอกจากเรื่องคดีกับกูเกิล (ที่ผลไม่เป็นไปตามคาด) และเรื่องปัญหาความปลอดภัยที่กำลังเป็นข่าว เรายังมีข่าว Java 8 มีแนวโน้มเลื่อนไปหนึ่งปี, กระทบไปถึง Java 9 ล่าสุดมันลามมาถึง Java EE สำหรับตลาดองค์กรแล้ว
กรณีของ Java 7 EE จะคล้ายกับ Java 8 SE คือเตรียมฟีเจอร์ใหม่ไว้เยอะแต่ทำไม่ทัน แต่กรณีของ Java 7 EE (ที่มีแผนออกช่วงไตรมาสที่สองของปี 2013) จะใช้วิธีตัดฟีเจอร์ทิ้งเพื่อรักษากำหนดการออกรุ่นเอาไว้
หลังจากเมื่อวานที่ผมได้เขียนข่าวออราเคิลออกแพตซ์ด้านความปลอดภัยให้กับจาวาแล้วเป็นเวอร์ชัน 7 อัพเดตที่ 7 บริษัทด้านความปลอดภัย Security Explorations สัญชาติโปแลนด์ก็ได้ประกาศเกี่ยวกับช่องโหว่เพิ่มเติมที่ยังไม่ได้ถูกแก้บนแพตซ์ล่าสุด ซึ่งส่งผลให้ผู้โจมตีสามารถข้ามผ่านระบบ sandbox ของจาวาแล้วทำการรันโค้ดที่เป็นอันตรายได้
ข่าวดีก็คือช่องโหว่นี้ยังไม่ได้ใช้เพื่อโจมตีจริงจึงยังไม่ได้รับการเปิดเผยออกสู่สาธารณะ ซึ่งในขณะนี้ทางผู้ค้นพบก็ได้ส่งรายละเอียดช่องโหว่ทั้งหมดให้กับทางออราเคิลเพื่อแก้ไขแล้ว แต่คำแนะนำจากผู้เชี่ยวชาญทางด้านความปลอดภัยก็ยังเน้นย้ำให้ปิดการใช้งานจาวาเพื่อความปลอดภัยอยู่
หลังจากประเด็นที่ออราเคิลไม่ยอมออกแพตซ์ด้านความปลอดภัยให้กับจาวา ล่าสุดทางออราเคิลได้ยอมปล่อยจาวาเวอร์ชันที่ 7 อัพเดตที่ 7 แล้วเพื่อแก้ปัญหาด้านความปลอดภัยโดยเฉพาะ และยังครอบคลุมไปถึงช่องโหว่อื่นที่ไม่ได้เป็นข่าวจากการโจมตีโดยแฮกเกอร์จีนด้วย
นักวิจัยด้านความปลอดภัยจาก Immunity ได้กล่าวเกี่ยวกับช่องโหว่นี้ จากการรันเพื่อทดสอบพบช่องโหว่จากเดิม 2 ช่องโหว่ยังพบว่ามีอีก 2 ช่องโหว่ใหม่ แต่ทั้งหมดนี้ได้รับการแพตซ์ในเวอร์ชันนี้เป็นที่เรียบร้อยแล้ว
อย่าลืมไปอัพเดตเพื่อความปลอดภัยกันนะครับ
กลายเป็นประเด็นบานปลายไปเรื่อยๆ กับกรณีที่บริษัทด้านความปลอดภัยหลายแห่งแนะนำให้เลิกใช้ Java ด้วยปัญหาทางด้านความปลอดภัย จากช่องโหว่ที่ออราเคิลละเลยมากว่าครึ่งปี ตอนนี้แม้แต่ Mozilla ผู้พัฒนาเบราว์เซอร์ชื่อดังอย่าง Firefox ก็มีท่าทีคล้อยตามแล้ว
โดย Mozilla ออกมาบอกว่าผู้ใช้ที่รันปลั๊กอิน Java 1.7 นั้นมีความเสี่ยงจะถูกโจมตีจากช่องโหว่ดังกล่าว และแนะนำให้ปิดมันซะ พร้อมกับสอนวิธีการปิดมาด้วย
จากที่ก่อนหน้านี้บริษัทความปลอดภัยคอมพิวเตอร์หลายบริษัทออกมาแนะนำให้ผู้ใช้ปิดจาวาหรือถอดมันทิ้งไป บริษัท Security Explorations ก็ออกมาเปิดเผยรายละเอียดของคำแนะนำนี้ว่ามีที่มาจากบั๊กความปลอดภัยมากถึง 31 จุด ที่รายงานไปถึงออราเคิลตั้งแต่เดือนเมษายน และจนตอนนี้ได้รับการแก้ไขไปเพียง 2 จุด
รอบการแพตซ์จาวาของออราเคิล นั้นมีสามรอบต่อปี และรอบต่อไปคือเดือนตุลาคมปีนี้ ทางออราเคิลได้ตอบกลับทาง Security Explorations ว่าจะมีการแก้ไขปัญหา "บางส่วน" ส่วนที่เหลือต้องรอเดือนกุมภาพันธ์ปีหน้า
TheNextWeb ได้เขียนรายงานเชิงสรุปว่าหลาย ๆ บริษัทรักษาความปลอดภัยคอมพิวเตอร์หลายรายได้แนะนำให้ผู้ใช้ปิด Java ทิ้งหรือไม่ก็เลิกใช้มันไปเลยเพื่อความปลอดภัย หลังจากก่อนหน้านี้ที่ไมโครซอฟท์ได้เคยบอกให้ผู้ใช้ของตัวเองอัพเดต Java เป็นเวอร์ชันล่าสุดหรือไม่ก็ลบมันทิ้งเสีย
คำเตือนทั้งหมดนี้ออกมาหลังจากที่ Oracle ยังไม่ยอมปล่อยอัพเดตเพื่อปิดช่องโหว่ของ Java 7 (เวอร์ชัน 1.7) บนทุกแพลตฟอร์ม ที่เปิดช่องให้การโจมตีประเภท remote access tool (RAT) ติดตั้งตัวเองบนเครื่องลูกข่ายได้ และทุกเบราว์เซอร์ที่มีปลั๊กอินของ Java ก็ถือว่าเป็นกลุ่มเสี่ยงที่อาจตกเป็นเป้าของการโจมตีนี้
ออราเคิลออก Java Platform, Standard Edition 7 Update 6 (Java SE 7 Update 6) ซึ่งถือเป็นครั้งแรกที่ออราเคิลออกซอฟต์แวร์บน Mac OS X ครบชุด ทั้ง JRE/JDK/JavaFX (ก่อนหน้านี้ออราเคิลออก Java SE 7u4 เป็นรุ่นแรกบนแมค แต่ยังไม่ครบชุดทั้งหมด)
ผู้ใช้แมคสามารถดาวน์โหลด Java SE 7u6 ได้จากเว็บไซต์ Java.com เช่นเดียวกับระบบปฏิบัติการอื่นๆ
ของใหม่อื่นๆ ใน Java SE 7u6 คือ JDK เวอร์ชันลินุกซ์รองรับสถาปัตยกรรม ARM v6 และ v7 เรียบร้อยแล้ว ช่วยให้เราสามารถรัน Java บนฮาร์ดแวร์ ARM อย่างพวก Raspberry Pi ได้ด้วย นอกจากนี้ยังมีการปรับปรุงส่วนของ JavaFX อีกหลายจุดครับ
จากข่าวเมื่อต้นปี ออราเคิลยืดอายุ Java SE 6 ไปจนถึงเดือนพฤศจิกายน 2012 ล่าสุดทางออราเคิลก็ตัดสินใจยืดอายุขัยของ Java 6 ไปอีกรอบเป็นเดือนกุมภาพันธ์ 2013