เว็บไซต์ ZDNet ทดสอบการติดตั้ง Java บนวินโดวส์ด้วยวิธีการต่างๆ และพบว่าตอนนี้ Java มีเทคนิคแนบเนียนหลายอย่างในการแถมโปรแกรม Ask Toolbar กับ McAfee Security Scanner แม้ผู้ใช้จะไม่ต้องการ

ต่อจากข่าว ออราเคิลออกแพตช์อุดช่องโหว่ Java แล้ว ผู้เชี่ยวชาญความปลอดภัยยังไม่เชื่อถือ

ล่าสุดมีนักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ในโปแลนด์ ออกมาให้ข้อมูลว่าพบช่องโหว่ 2 จุดใน Java 7 Update 11 ตัวล่าสุดที่เพิ่งออก โดยช่องโหว่นี้สามารถลัดขั้นตอนของ sandbox และรันโค้ดประสงค์ร้ายบนคอมพิวเตอร์ได้

ทาง Security Explorations แจ้งข้อมูลช่องโหว่ไปยังออราเคิลแล้ว (ไม่ได้เปิดเผยต่อสาธารณะ) ซึ่งช่องโหว่นี้เป็นช่องโหว่ใหม่ ไม่เกี่ยวกับช่องโหว่ก่อนหน้านี้ที่ผู้เชี่ยวชาญระบุว่า Java 7u11 ปิดไม่หมดด้วย

US-CERT หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ) ยังออกมาเตือนให้ผู้ใช้งาน Java สั่งปิดการทำงานของ Java ในเว็บเบราว์เซอร์ต่อไป แม้ว่าออราเคิลได้ออกแพตช์ Java 7u11 มาแก้ไขแล้วก็ตาม

US-CERT ให้เหตุผลว่าช่องโหว่ Java ตามข่าวก่อนหน้านี้ถูกใช้งานอย่างแพร่หลาย และมีความเป็นไปได้สูงว่าจะพบช่องโหว่ใหม่ๆ ในอนาคต ดังนั้นเพื่อเป็นการป้องกันตัว ผู้ใช้ควรปิดการใช้งาน Java ผ่าน Java Control Panel หรือหน้าจอตั้งค่าของ Java เอง

ผู้เชี่ยวชาญความปลอดภัยระบุว่า Java 7u11 ไม่ได้แก้ปัญหาทั้งหมด และผู้ใช้ยังมีโอกาสโดนมัลแวร์ได้ ถ้าโดนหลอกให้กดรันโค้ดประสงค์ร้ายด้วยวิธี social engineering

จากปัญหาช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ในที่สุดออราเคิลก็ออกแพตช์หมายเลข CVE-2013-0422 มาแก้ปัญหานี้แล้ว

นอกจากแพตช์ตัวนี้จะปิดช่องโหว่เดิมแล้ว ยังปรับค่า Java Security Level จากเดิม Medium เป็น High ซึ่งมีผลให้ผู้ใช้ต้องกดรัน Java Applet ด้วยตัวเองก่อนเสมอ เพิ่มความปลอดภัยไปอีกขั้นหนึ่ง ผู้ใช้ทุกคนสามารถอัพเดตได้ผ่าน Java Update ของระบบครับ

จากข่าว พบช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ล่าสุดมีผู้สร้างเบราว์เซอร์ 2 รายสั่งปิดการทำงานของปลั๊กอิน Java เพื่อป้องกันผู้ใช้จากการโจมตีแล้ว

เว็บไซต์ FOSS Patents อ่านเอกสารยื่นอุทธรณ์ของออราเคิลในคดี Java กับกูเกิล (ซึ่งยื่นเมื่อเดือนธันวาคม) พบว่าออราเคิลตัดสินใจไม่อุทธรณ์คดีส่วนสิทธิบัตร และอุทธรณ์เฉพาะคดีเรื่องลิขสิทธิ์ของ Java API เท่านั้น

FOSSPatents ประเมินว่าออราเคิลคงต้องการโฟกัสไปที่ประเด็นเรื่อง Java API เป็นหลัก, สิทธิบัตรบางชิ้นกำลังจะหมดอายุ และสิทธิบัตรบางชิ้นอาจเรียกค่าเสียหายได้ไม่มากนัก เลยตัดสินใจทิ้งประเด็นเรื่องสิทธิบัตรไป

กระบวนการของคดีนี้ยังต้องใช้เวลาอีกนาน ถ้ากำหนดการเป็นไปตามที่วางแผนกันไว้ กว่าที่ทั้งสองฝ่ายจะแถลงตอบโต้กันครบ (ฝ่ายละ 2 รอบ) ก็ช่วงกลางเดือนกรกฎาคม 2013 ครับ

จาวาสริปต์เป็นภาษาสคริปต์ของ Netscape ที่พัฒนาขึ้นเพื่อใช้บนเว็บกับ Netscape 2.0 มาตั้งแต่ปี 1995 โดยยืมชื่อ "จาวา" มาจากซันโดยไม่มีความเกี่ยวเนื่องอะไรกัน แต่ความนิยมของจาวาสคริปต์ที่สูงขึ้นเรื่อยๆ จนกระทั่งเริ่มบุกตลาดเซิร์ฟเวอร์ด้วย node.js ตอนนี้ทางออราเคิลก็เปิดโครงการ Nashorn เป็นส่วนหนึ่งของ OpenJDK เพื่อนำจาวาสคริปต์มารันบน JVM แล้ว

โครงการนี้กำลังถูกพัฒนาเป็นการภายในออราเคิลเอง และกำลังเตรียมการโยกย้ายออกมาสู่สาธารณะภายใต้โครงการ OpenJDK จากข้อเสนอของออราเคิล

สมาชิกของ OpenJDK สามารถโหวตเพื่อรับหรือไม่รับโครงการนี้ได้ภายในวันที่ 6 ธันวาคมที่จะถึงนี้

การแข่งขันในตลาดลินุกซ์ระหว่างออราเคิลกับเรดแฮตดูจะดุเดือดมากขึ้น เมื่อออราเคิลประกาศนำแพตซ์ของเรดแฮตมาแยกย่อยรายละเอียดแล้วนำขึ้น Git repository ให้คนทั่วไปเข้าถึงได้

แพตซ์ความปลอดภัยของจาวานั้นมีรอบการปล่อยปีละสามรอบ แม้ก่อนหน้านี้จะมีกรณียกเว้นที่ออราเคิลยอมปล่อยแพตซ์พิเศษในเดือนกันยายน แต่ก็ยังเหลือบั๊กมาถึงรอบปกติเดือนตุลาคม ข่าวร้ายคือแม้จะปล่อยแพตซ์ตามรอบออกมา ปัญหาก็ยังไม่หมด ทำให้บั๊กที่เหลือต้องรอรอบเดือนกุมภาพันธ์ปีหน้า

บั๊กที่ยังแก้ไม่หมดนี้เพิ่งพบในช่วงปลายเดือนกันยายนที่ผ่านมา โดยบริษัท Security Explorations ที่ออกมารายงานบั๊กรอบที่แล้ว โดยกระทบตั้งแต่ Java 5 ถึง Java 7 รวมผู้ใช้ที่ได้รับผลกระทบประมาณพันล้านคน

หลังจากที่พบช่องโหว่มากมายหลายรอบบนทุกแพลตฟอร์ม ล่าสุดแอปเปิลได้ปล่อยอัพเดตให้แก่ OS X เพื่อถอดเอาปลั๊กอินจาวาออก มีผลทำให้เว็บเบราว์เซอร์ทุกตัวบน OS X จะไม่สามารถใช้งานจาวาได้ นอกเสียจากไปดาวน์โหลดจากปลั๊กอินตัวนี้จาก Oracle โดยตรง

ก่อนหน้านี้บริษัทรักษาความปลอดภัยคอมพิวเตอร์หลายรายได้ออกมาแนะนำให้ผู้ใช้ทั่วไปลบจาวาทิ้ง แต่หลังจากนั้น Oracle ก็ได้ปล่อยอัพเดตเพื่อแก้ไขปัญหาที่พบในช่วงนั้นเรียบร้อยแล้ว แต่ไม่นาน ก็พบกับช่องโหว่ใหม่ซึ่ง ณ เวลานี้ยังไม่ได้รับการแก้ไข

ออราเคิลออกระบบปฏิบัติการ Solaris 11.1 ซึ่งเป็นการอัพเดตใหญ่ครั้งแรกหลังออก Solaris 11.0 เมื่อหนึ่งปีก่อน

ออราเคิลบอกว่าฟีเจอร์ใหม่ของ Solaris 11.1 มีมากกว่า 300 จุด (นับแบบแอปเปิล) ที่สำคัญๆ ได้แก่

ออราเคิลส่งหนังสือแจ้งศาลเขตแคลิฟอร์เนียเหนือ ว่าบริษัทเตรียมยื่นอุทธรณ์ต่อคดีลิขสิทธิ์ Java API ที่ผู้พิพากษา William Alsup ตัดสินในศาลชั้นต้นว่า API ไม่มีลิขสิทธิ์ เมื่อเดือนมิถุนายน 2012

คดีนี้ออราเคิลฟ้องกูเกิลด้วย 2 ข้อหาคือ ลิขสิทธิ์ และสิทธิบัตร ซึ่งในส่วนของสิทธิบัตรนั้น คณะลูกขุนก็ตัดสินว่ากูเกิลไม่ละเมิดสิทธิบัตรของออราเคิลด้วยเช่นกัน

ที่มา - CNET

เก็บตกข่าวของออราเคิลในงาน OpenWorld 2012 ต่อนะครับ จากที่ออราเคิลเคยประกาศยุทธศาสตร์ Cloud ไปเมื่อกลางปี ล่าสุดบริษัทก็ประกาศต่อยอดยุทธศาสตร์นี้ด้วย IaaS Cloud ซึ่งเทียบได้กับ Amazon Web Services ตรงๆ

ออราเคิลบอกว่าบริการกลุ่มเมฆของตัวเองมี PaaS (platform) และ และ SaaS (software) อยู่ก่อนแล้ว การเติม IaaS (infrastructure) เข้ามาจะให้บริษัทมีบริการกลุ่มเมฆครบถ้วนที่สุดในท้องตลาด และแน่นอนว่าต้องใช้ร่วมกันทุกระดับเพื่อประสิทธิภาพในการทำงานที่ดีขึ้น

ออราเคิลเปิดตัว NetBeans 7.3 Beta ที่งาน JavaOne 2012 ของใหม่ในรุ่นนี้ได้แก่

• ตัวแก้ไข HTML5, CSS3, JavaScript
• เชื่อมกับ Google Chrome ในการพรีวิวเว็บเพจ และฝังเอนจิน WebKit สำหรับพรีวิวภายในโปรแกรม
• ปรับปรุงคลิปบอร์ดและ refactoring ในส่วนของ Java Editor
• รองรับ JDK 7u7, JavaFX 2.2.1, JavaME SDK 3.2

ที่มา - NetBeans, Oracle

ที่งาน JavaOne 2012 ซึ่งจัดขนานไปกับงาน Oracle OpenWorld ทางออราเคิลก็ออกมายืนยันแผนการออก Java รุ่นใหม่ๆ ดังนี้ครับ

Java SE 8

ออกช่วงปลายปี 2013 ตามที่เคยส่งสัญญาณมาก่อนแล้วว่าล่าช้า และถอดโมดูล Project Jigsaw ไปใส่ไว้ใน Java 9 แทน

ออราเคิลยังเดินหน้ารวม JVM สองตัวคือ HotSpot (ของซันเดิม) กับ JRockit (ของ BEA เดิม) เข้าด้วยกัน จะให้เสร็จใน JDK 8

Java ME 8

ออกปลายปี 2013 เช่นกัน นอกจากนี้ยังมีข่าวของ Java ME Embedded 3.2 ตามที่ประกาศออกมาก่อนงานแล้ว

JavaFX 8

เก็บตกงาน Oracle OpenWorld 2012 ครับ นอกจากซอฟต์แวร์หลักอย่าง Oracle Database 12c แล้ว ออราเคิลยังเปิดตัวเซิร์ฟเวอร์สำหรับงานฐานข้อมูล Exadata รุ่นที่สาม ในชื่ออย่างเป็นทางการว่า Oracle Exadata X3 Database In-Memory Machine

Larry Ellison ซีอีโอของออราเคิลเผยข้อมูลของผลิตภัณฑ์หลัก Oracle Database รุ่นใหม่ 12c

ระยะหลังๆ ออราเคิลนับเลขเวอร์ชันแบบมีตัวอักษรห้อยท้ายเพื่อแสดงเทคโนโลยีที่ตั้งใจเน้นในรุ่นนั้นๆ เริ่มจาก 8i/9i (internet) และ 10g/11g (grid) ส่วนตัว 12c หลายคนคงเดากันได้ว่ามาจาก cloud นั่นเอง

Oracle Database 12c ปรับสถาปัตยกรรมใหม่ซึ่งซุ่มทำมาหลายปีแล้ว จุดเด่นของมันคือแนวคิดที่เรียกว่า multitenant database หรือ plausible database ช่วยให้เก็บข้อมูลคนละชุดคนละอย่าง (data store) ลงในฐานข้อมูลเดียวกันโดยไม่ต้องแยก schema ข้อมูลแต่ละชุดมีหน่วยประมวลผลกับหน่วยความจำแยกขาดจากกัน ซึ่งเหมาะสำหรับยุคของกลุ่มเมฆที่เราประมวลผลงานหลายๆ อย่างบนเครื่องคอมพิวเตอร์เสมือนเครื่องเดียวกันจนเป็นปกติ

ช่วงนี้มีงาน Oracle OpenWorld 2012 จะมีข่าวผลิตภัณฑ์ใหม่ของออราเคิลเยอะหน่อยนะครับ เริ่มจากฐานข้อมูลยอดนิยมของโลกโอเพนซอร์ส MySQL ออกรุ่นใหม่ 5.6 Release Candidate ซึ่งใกล้เป็น 5.6 ตัวจริงเต็มทีแล้ว

ของใหม่ของ MySQL 5.6 คงเป็นเรื่องประสิทธิภาพ โดยเฉพาะเรื่อง query และ subquery ที่ทีมงาน MySQL ปรับแต่งรีดเร้นประสิทธิภาพมาในหลายจุด (รายละเอียดตามต้นฉบับ) นอกจากนี้ตัวเอนจินอย่าง InnoDB ก็ปรับปรุงเรื่อง transactional และ full text search ด้วย - Oracle

โนเกียประกาศข้อตกลงกับออราเคิล ให้ลูกค้าของออราเคิลสามารถเข้าถึงข้อมูลแผนที่และสถานที่ของ Nokia Maps ได้

ข้อตกลงนี้คงเน้นไปที่ลูกค้าภาคธุรกิจของออราเคิลเป็นหลัก แต่เป็นสัญญาณที่ดีว่าโนเกียกำลังทำเงินจาก Nokia Maps ได้อย่างต่อเนื่อง (ลูกค้าก่อนหน้านี้คือ Bing Maps, Amazon, Yahoo!, Groupon) โดยปี 2011 หน่วยธุรกิจ Location & Commerce ของโนเกีย (Navteq เดิม) ทำเงินได้ 1.2 พันล้านดอลลาร์ ถึงแม้จะยังน้อยอยู่เมื่อเทียบกับรายได้ทั้งหมดของบริษัท แต่ตัวเลขก็เพิ่มขึ้นเรื่อยๆ

ข่าวจะประกาศอย่างเป็นทางการในงาน Oracle OpenWorld คืนนี้ตามเวลาประเทศไทย

ออราเคิลประกาศ Java Micro Edition (Java ME) รุ่นสำหรับอุปกรณ์ฝังตัว 2 รุ่นย่อย

• Java ME Embedded 3.2 สำหรับอุปกรณ์ขนาดเล็ก กินไฟต่ำ ไม่จำเป็นต้องมีจอภาพ ซอฟต์แวร์รุ่นใหม่ต้องการแรมอย่างต่ำแค่ 130 kB และรอมขนาด 350 kB, รองรับสถาปัตยกรรม ARM Cortex-M และ Cortex-A, สามารถอัพเดตและติดตั้งซอฟต์แวร์เพิ่มเติมได้จากระยะไกล
• Java Wireless Client 3.2 เป็น Java ME รุ่นปรับแต่งมาสำหรับโทรศัพท์มือถือในตลาดล่าง รองรับการทำงานแบบสองซิม

ในโอกาสเดียวกันนี้ ออราเคิลยังออก Java ME SDK 3.2 สำหรับพัฒนาซอฟต์แวร์ 2 ตัวข้างต้น โดยมีปลั๊กอิน Java ME SDK สำหรับ Eclipse เพิ่มมาด้วย จากเดิมที่มีแค่ NetBeans

บริษัทความปลอดภัย Security Explorations ค้นพบช่องโหว่ใหม่ของ Java SE โดยรอบนี้ครอบคลุมกว้างตั้งแต่ Java 5-6-7 บนทุกระบบปฏิบัติการ ไม่ว่าจะเป็นวินโดวส์ แมค ลินุกซ์ หรือแม้กระทั่งโซลาริส

นักวิจัยของ Security Explorations ทดสอบช่องโหว่นี้บน Windows 7 แบบ 32 บิตลงแพตช์ล่าสุด ติดตั้ง Java 6u35 และ Java 7u7 รุ่นล่าสุด ผู้ทดสอบสามารถเจาะเข้ามายังช่องโหว่นี้ และรันแอพเพล็ตอันตรายเพื่อขโมยหรือลบข้อมูลของผู้ใช้ได้ (ทาง Security Explorations ไม่เปิดเผยรายละเอียดของช่องโหว่ตัวนี้)

ทาง Security Explorations แนะนำให้ปิดการใช้งาน Java Plugin โดยทันที และอาจต้องรอถึงวันที่ 16 ตุลาคม ซึ่งเป็นรอบการอัพเดตช่องโหว่ Java ครั้งต่อไป

ทางออราเคิลยังไม่มีท่าทีใดๆ ต่อข่าวนี้ครับ

Esteban Martinez Fayo นักวิจัยด้านความปลอดภัยของบริษัท AppSec ได้นำเสนอช่องโหว่ใหม่ที่เกิดขึ้นบนโปรโตคอลที่ใช้ในการล็อกอินของ Oracle DB ที่จะช่วยให้ผู้ใช้ช่องโหว่นี้ในการโจมตีสามารถเข้าถึงฐานข้อมูลได้ผ่านทางการโจมตีแบบ bruce-force attack โดยช่องโหว่นี้เกิดขึ้นได้เพียงแค่ผู้โจมตีรู้ถึงชื่อผู้ใช้งานที่ถูกต้องของฐานข้อมูลและชื่อของฐานข้อมูล

ผมมีโอกาสได้สัมภาษณ์คุณประนิติ ฐิตะวรรโณ ผู้อำนวยการประจำประเทศไทย กลุ่มธุรกิจออราเคิล ฟิวชั่น มิดเดิลแวร์ โดยมีประเด็นอยู่ที่ผลิตภัณฑ์สายฮาร์ดแวร์ของออราเคิลเป็นหลัก

ทิศทางของโลกไอทีองค์กรนั้นชัดเจนมากว่า บริษัทไอทีใหญ่ๆ ให้บริการโซลูชันครบวงจร ตั้งแต่ฮาร์ดแวร์ไปจนถึงแอพ (vertical integration) ซึ่งผลิตภัณฑ์เซิร์ฟเวอร์กลุ่ม Exa ของออราเคิลถือเป็นตัวอย่างที่ชัดเจนมากในประเด็นนี้

VirtualBox ถือเป็นซอฟต์แวร์ virtualization ความสามารถสูงอีกตัวหนึ่ง ถึงจะเงียบๆ ไปมากหลังออราเคิลซื้อซัน แต่ตัวโครงการก็ยังพัฒนาอย่างต่อเนื่อง ล่าสุดออกเวอร์ชันใหม่ 4.2 เรียบร้อยแล้ว

ของใหม่ที่สำคัญของ VirtualBox 4.2 คือการปรับปรุงให้รัน Windows 8 ได้ดีขึ้น โดยเฉพาะเรื่องกราฟิก 3 มิติ และแก้ปัญหาแครชเมื่อต้องใช้หน่วยความจำมากๆ นอกจากนี้ยังปรับปรุงตัวติดตั้งของ VirtualBox บน Mac OS X ให้เข้ากับ Mountain Lion ในเรื่อง signed application อีกด้วย

ในกรณีที่ทั้ง host/guest เป็นลินุกซ์ทั้งคู่ VirtualBox รุ่นนี้ยังสามารถลากวัตถุข้ามหน้าต่างกันได้โดยตรง โดยจะเพิ่มการสนับสนุนระบบปฏิบัติการอื่นๆ ในอนาคตต่อไป

คดีสิทธิบัตรจาวามูลค่า 6 พันล้านดอลลาร์ของออราเคิลกลายเป็นค่าใช้จ่ายของออราเคิลเองเมื่อมาถึงช่วงเคลียร์ค่าใช้จ่ายในคดี โดยกูเกิลเรียกค่าใช้จ่ายในคดีเป็นเงิน 4.03 ล้านดอลลาร์ แต่ผู้พิพากษาตัดสินให้ออราเคิลจ่ายให้กูเกิล 1.13 ล้านดอลลาร์

ผู้พิพากษา Alsup ให้เหตุผลที่ออราเคิลต้องรับผิดชอบต่อค่าใช้จ่ายของกูเกิลว่าออราเคิลตั้งค่าเสียหายเริ่มต้นไว้ไกลจากความเป็นจริงเกินไป แม้จะชนะคดีในส่วนของลิขสิทธิ์ (ซึ่งออราเคิลไม่เรียกค่าเสียหาย) แต่ความเสียหายเหล่านั้นก็ไม่ใช่ความเสียหายที่ออราเคิลเรียกร้องเป็นหลักแต่แรก ทำให้สุดท้ายออราเคิลต้องเป็นผู้รับผิดชอบค่าใช้จ่ายในคดีนี้