#3 Java Runtime Environment (JRE) / Java Basics / Source Code
Oracle kommer att släppa en ny version av Java på tisdag som innehåller 42 säkerhetsfixar och kommer att göra förändringar i hur webbaserat Java-innehåll kommer att presenteras i webbläsare.
Trettiofem av sårbarheterna patched av den nya Java 7 Update 21 (7u21) kan utnyttjas på distans utan autentisering, sa Oracle i ett pre-release-meddelande. Några av dem har det maximala värdet på den OSSS-skala som används av Oracle för att bedöma svårighetsgraden av sårbarheter.
Förutom säkerhetskorrigeringar, kommer den nya uppdateringen också att göra ändringar i hur Java-appletter-webbaserade Java-applikationer är hanteras och presenteras i webbläsare som har Java-plugin-funktionen aktiverad.
[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]"Java 7u21-versionen introducerar ändringar i säkerhetsmeddelanden relaterade till körning av Java-appletter och applikationer, säger Oracle i ett tekniskt dokument som förklarar förändringarna. "Alla Java-program som körs via användarens webbläsare kommer att uppmana användaren att bekräfta. Den typ av meddelanden som presenteras beror på olika riskfaktorer som körprogram som innehåller ogiltiga digitala certifikat och använder föråldrade versioner av Java. "
Ändringarna följer ett stort antal attacker i år som har använt webbaserad Java utnyttjar att infektera datorer med skadlig kod. Företaget hoppas att ändringarna kommer att uppmuntra utvecklare att underteckna sina legitima Java-appletar med digitala certifikat som utfärdats av certifikatmyndigheter som är auktoriserade.
I de fall då risken för en attack är lägre, som när appleten digitalt signeras med ett CA-utfärdat certifikat, kommer meddelandena som visas till användare att vara minimala och det kommer att finnas ett alternativ att automatiskt lita på applikationer från samma leverantörer i framtiden.
Men när det handlar om osignerade appletar innehåller varningsmeddelanden mer information som kommer att återspegla den högre säkerhetsrisken. Ytterligare interaktion kommer också att krävas från användare som vill köra sådana applets, sade Oracle.
Företaget har publicerat en översikt över alla användningsfall av signerade och osignerade appletar med exempel på hur varningsdialogerna kommer att se ut i varje enskilt fall.
Den här nya utgåvan är resultatet av Oracles plan att accelerera patchcykeln för Java och kommer att sammanfalla med att säkerhetsuppdateringar för andra Oracle-applikationer och middleware-produkter som uppdaterades separat, släpptes.
För att göra detta har de utnyttjat ett fel i De digitala certifikat som används av webbplatser för att bevisa att de är vem de hävdar vara. Genom att utnyttja kända brister i MD5-hash-algoritmen som används för att skapa några av dessa certifikat, kunde forskarna hacka Verisigns certifikatmyndighet RapidSSL.com och skapa falska digitala certifikat för alla webbplatser på Internet.
Hashes används att skapa ett "fingeravtryck" för ett dokument, ett nummer som är avsett att identifiera ett visst dokument och enkelt beräknas för att verifiera att dokumentet inte har ändrats under transitering. MD5-hackningsalgoritmen är dock felaktig, vilket gör det möjligt att skapa två olika dokument som har samma hashvärde. Så här kan någon skapa ett certifikat för en phishing-webbplats som har samma fingeravtryck som certifikatet för den äkta sajten.
Kommer Oracle att döda Java-community? Det är frågan om allas tankar på årets JavaOne-utvecklarekonferens, den sista showen före Oracles planerade uppköp av Java Microsofts 7,4 miljarder dollar. Oracle VD Larry Ellison gjorde ett överraskning utseende på showens öppningsnyckeln tisdag och försökte hota utvecklaren oro. Medan han antydde att det skulle ske några förändringar, sa han i huvudsak att det kommer att vara vanligt för Java när förvärvet avslutas.
Men Oracle är ingen Sun. Sun har länge kämpat för att hålla sin mångkulturella utvecklingsgrupp lycklig och skapar en omfattande byråkrati för att hantera utvecklingen av Java-standarder och gradvis frigöra nyckelkomponenter på plattformen under en öppen källkodslicens. Medan Sun har gjort några pengar från Java-licenser har det missat stora möjligheter att sälja lukrativa Java-utvecklingsverktyg och middleware-servrar.
1. T-Mobile, Microsoft berätta för Sidekick-användare att vi fortsätter att göra allt vi kan för att återställa data och Sidekicks lektion: Säkerhetskopiera dina data: T-Mobile och Microsoft talade äntligen för att de skulle hantera problem som orsakade Sidekick-användare att förlora data och strider mot anslutningsproblem. Användare av smarttelefonen hade problem för dagar, så företagens försenade reaktion störde många av dem. Under tiden fungerar problemen som en påminnelse om att det är vikti
2. Starent buy fortsätter Ciscos riktning mot samarbete och video: Cisco Systems planerar att lägga till Internet Protocol-baserad mobilinfrastrukturleverantör Starent Networks till sin portfölj för en cool 2,9 miljarder US-dollar. Cisco meddelade den 1 oktober att det är att köpa videokonferens stalwart Tandberg för cirka 3 miljarder dollar. Kombinationen ledde Computerworlds Matt Hamblen att likna Cisco till en 1930-talet Hollywood mogul, med fingrarna som nått distribution och innehåll, inklu