Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2014_critical_...) плановый апрельский выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 7u55 и Java SE 8u5 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой (http://www.opennet.me/opennews/art.shtml?num=36938) нумерации выпусков) устранено 37 проблем (http://www.oracle.com/technetwork/topics/security/cpuapr2014...) с безопасностью.36 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 4 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 6 проблем затрагивают не только клиентские, но и серверные системы.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 2 уязвимостях в VirtualBox (http://www.oracle.com/technetwork/topics/security/cpuapr2014...) и 15 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2014...) в MySQL. Уязвимости в VirtualBox отмечены как некритичные (степень опасности 4.4 из 10). В MySQL уязвимости также не являются серьёзными - самой опасной проблеме присвоен уровень опасности 6.5 из 10. Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.URL: https://blogs.oracle.com/security/entry/april_2014_critical_...
Новость: http://www.opennet.me/opennews/art.shtml?num=39585
JavaSE, как всегда, жжот
Как и C/C++, на котором написана JVM.
Кремний во всём виноват.
В том числе. Это из-за него не могут осилить разработчики ядра корректное просыпание компьютера! Постоянно чего-то, но отваливается по причине плохого кремния.
А то бздуны засыпание/просыпание ноутов, конечно, уже давно запилили, ога ;)
СПО корректное просыпание ноутов мешает реализовать те же невнятные спецификации производителей железа, которые, походу, оформлены в виде нерабочего публичного C/C++ API. :))
Перепиши на Java
> Перепиши на JavaСтрадостю! :))
три десятка удаленных дыр в каждом апдейте
в оракле нашли более дешевые аналоги индусов?
они хоть прямоходящие?
Есть два типа ЯП - которые ругают и которые не используют.(Страуструп)
Угу.
А ещё они делятся на те, где ты только сам можешь плодить баги, и те, где (по-мимо твоих) ещё будут и баги других.
И хорошо, если это будут только баги.
Пример языка первого рода можно?Ха! А я и см один знаю! Это же ... assembler :)
А потом он увидел количество страниц Errata для этого процессора..
В процессоре тоже баги есть.
>Есть два типа ЯП - которые ругают и которые не используют.(Страуструп)а ведь он смотрит на тебя: http://goo.gl/ZuPCdb
;-)
Количество багов на 1000 строк кода является константой. Хотя большинство их сосредоточено в прокладке между стулом и клавиатурой.
Достаточно много багов тянется аж с Java SE 5.х.
Так что может быть наоборот, разгребают авгиевы конюшни?
Когда они там свою новую ОСь запилят?
OSv? Это не они.
Как там с той новой фичи безопасности, из-за которой многий софт отказывался работать? Исправили?
> 36 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификацииЗа всю историю линуха столько нет.
А тут за квартал-полгода.
1. Applies to client and server deployment of Java. This vulnerability can be exploited through sandboxed Java Web Start applications and sandboxed Java applets. It can also be exploited by supplying data to APIs in the specified Component without using sandboxed Java Web Start applications or sandboxed Java applets, such as through a web service.
2. Applies to client deployment of Java only. This vulnerability can be exploited only through sandboxed Java Web Start applications and sandboxed Java applets.
3. Applies to sites that run the Javadoc tool as a service and then host the resulting documentation. It is recommended that sites filter HTML where it is not explicitly allowed for javadocs.
4. Applies to the unpack200 tool.Конечно безопасность выполнения Апплетов стоит сравнивать с безопасностью на уровне ядра ;)
Ещё опенждк 1.6 обновилось, но для 1.7 обновление обозвано критическим, а для 1.6 только важным. Прям как с опенссл история — новодельные поделия дырявы и кривы.