Archiwa tagu: Java

GeeCON 2010 zakończony

W dniach 13-14 maja 2010 odbyła się międzynarodowa konferencja GeeCON. Druga edycja imprezy poświęconej językowi Java oraz technologiom opartym na Java Vitrual Machine tym razem miała miejsce w Poznaniu, w kinie Multikino 51.

Organizatorami byli Grupa Informatyczno-Kulturalna, Polska Grupa Użytkowników Języka Java, Poznańska Grupa Użytkowników Języka Java przy współpracy Miasta Poznania, Poznańskiego Centrum Superkomputerowo-Sieciowego oraz Uniwersytetu im. Adama Mickiewicza. Podczas dwóch dni spotkań impreza zgromadziła około 450 uczestników z całego świata.

Konferencję rozpoczął Thorbiörn Fritzon wykładem pt. „The Future of Java”. Informacje na temat dalszych losów Javy były bardzo wyczekiwane zwłaszcza po przejęciu firmy Sun przez Oracle. Następnie rozpoczęło się blisko 40 wykładów prowadzonych w trzech równoległych sesjach. Dalibor Topic przedstawił status prac nad JDK 7. Podczas swojego show Bruno Bossola przekonywał nas do prawdziwego Programowania Obiektowego, natomiast Dawid Weiss pokazał jak szybka jest Java i w jaki sposób można ją przyspieszyć. Odbyły się także praktyczne prezentacje. Hans Dockter pokazał możliwości  Gradle – systemu budowania oprogramowania. Andres Almiray przedstawił proces tworzenia aplikacji desktopowej przy użyciu frameworku Griffon.

Prezentacje są dostępne na stronie konferencji.

Krytyczna luka w Javie załatana

Jakiś czas temu świat obiegła informacja o znalezieniu krytycznej luki bezpieczeństwa w JRE (Java Runtime Environment), która pozwalała za pośrednictwem komponentu Java Web Start uruchomić dowolny kod.

Dla przykładu błąd mógł zadziałać w momencie próby uruchomienia apletu Javy na dowolnej stronie HTML. Problem polegał na tym, iż nie istniał żaden mechanizm walidacji parametrów przekazywanych do wewnętrznie wywoływanej komendy „javaws.exe” tak, że odpowiednio przygotowany kod HTML umożliwiał przeprowadzenie ataku i wywołanie złośliwego kodu. Luka dotyczyła przede wszystkim systemów operacyjnych z rodziny Windows, choć prawdopodobnie było możliwe przeprowadzenie ataku również na systemach Linux.

Początkową reakcję ze strony Oracle trudno byłoby nazwać odpowiedzialną – mimo zanotowanych ataków, łata nie została przygotowana w trybie natychmiastowym; jednak dzięki działaniom i nagłośnieniu sprawy przez testerów bezpieczeństwa, firma zdecydowała się wydać (z lekką zwłoką) poprawkę luki wraz Java 6 Update 20. W samej notce do wydania Update 20 można znaleźć niepozorną informację o poprawie błędu; przetestowano również rozwiązanie i zaproponowany przez m.in. Travisa Ormandy z Google Security Research, sposób na włamanie nie jest już skuteczny.
Równolegle sposób na włam zaproponował także Ruben Santamarta, którego kod proof-of-concept można prześledzić na stronie : http://www.exploit-db.com/download/12122.

Ostatecznie lukę załatano, dzięki czemu po instalacji poprawki korzystanie z rozwiązań Java Web Start Framework powinno być bezpieczne. JWS jest ogólnie znanym i często stosowanym standardem – również w dLibrze, gdy z poziomu aplikacji czytelnika uruchamiamy aplikację administratora/redaktora.
Wszystkim, którzy jeszcze tego nie zrobili polecamy niezwłocznie zainstalować najnowszą poprawkę JRE.